시큐어코딩 점검툴 사용법 / 보안 취약점 보완 조치 방법

시큐어코딩 점검은 신규 서비스 안정화 기간 중 실시하고, 매년 정기적으로 점검을 실시합니다.

---

시큐어코딩 진단 방법

CODE-RAY XG PRO 사용법

제공 받은 exe 파일을 설치하여 실행 후 운영 브랜치를 바라보는 프로젝트폴더\src\main 경로로 지정합니다.
프로그램 기본 세팅 확인 후 우측 검사 시작 버튼을 누르면 됩니다.
시큐어코딩 점검 계획서에 첨부할 사진으로 점검 전, 점검 후, 취약점 보완 및 재점검 후 각각 캡쳐해두어야 합니다.

CODE-RAY 기본 세팅

• 제외 파일 필터 : .html, *.js, *.cubrid.xml, *.mysql.xml, java.xml, pom.xml, sql*.xml
• 프리셋 목록 : 행안부 선택
• 파서 선택 : javascript, jsp, html, xml, java 체크
• 예외 항목 : 외부에서 제공받은 유틸 및 API 연동 파일 제외 (롤 관리 메뉴에서 추가)

CODE-RAY 단점
제외된 폴더 내 파일들도 모두 검사해서 시간이 오래 걸립니다.

---

개선 불가 코드 제외 처리

전자정부프레임워크(egovframework 폴더), 라이브러리 폴더 등은 수정할 수 없으니 제외처리 해야 합니다.

폴더 제외 방법

상단 룰 관리 탭 > 예외 룰 관리 > 추가 > 예외 이름 작성 > 예외 항목 추가 > 폴더 > 검사 결과의 파일별 리스트 참고해서 제외할 폴더 경로를 /로 구분하여 작성 (다중 폴더 추가 가능) > 추가 > 저장 > 저장

제외 폴더 예시

• java/egovframework/*
• resources/egovframework/*
• webapp/WEB-INF/jsp/egovframework/*

파일 제외 방법

상단 룰 관리 탭 > 예외 룰 관리 > 추가 > 예외 이름 작성 > 예외 항목 추가 > 파일 > 검사 결과 상세 목록 검출 파일 참고해서 제외할 파일명 작성 > 추가 > 저장 > 저장
제외 폴더 필터로 제외되지 않은 파일은 새 예외 항목을 만들어서 제외합니다.

제외 파일 예시

• GeneratorController.java
• GeneratorServiceImpl.java
• IMFileUtil.java

---

보안 취약점 보완 방법

시큐어코딩 점검 결과에서 낮음 등급은 제외하고 높음, 보통 등급만 보완합니다.
보안약점 설명 및 수정 방법을 참고하고, 구글링 해서 수정 후 계속 프로그램을 돌려보면서 확인합니다.
개발서버용 브랜치에서 먼저 수정 후 운영서버용 브랜치에 반영해야 합니다.