beSTORM

의료기기 소프트웨어의 보안취약점을
Fuzz Testing 기법을 통해 취약점을 검출 및 시스템검증 솔루션

• 개요
  Wifi 및 Bluetooth 기반 네트워크 프로토콜에 대한 Fuzzing 테스트

• 주요사례
  원주의료기기테크노밸리, 국가보안기술연구소, 국방부, 한국인터넷진흥원, 한국기계전기전자시험연구원, 국방과학연구소, (재)한국스마트그리드사업단 등

주요기능 및 특장점
네트워크 프로트콜에 대한 퍼징 테스트 지원 TCP/IP Version4 Protocol에 대한 취약점 탐지 Bluetooth Protocol에 대한 취약점 탐지 시험 중 발견된 취약점을 재현 보안취약점인 크래쉬/서비스거부공격(DOS)/성능저하/응답시간저하와 필드레벨의 취약점인 Overflow/Integer 취약점 검출 테스트 케이스 수행 개수, 수행 시간, 취약점 탐지 개수 정보 제공 프로트콜별 퍼징 규칙 추가를 통한 테스트케이스 확장

* 의료기기 관련표준 참고 FDA의 UL 2900 Cyber security Standard

V모델에서 beSTORM 지원 범위

CodeSonar

ISO 26262, IEC 61508, IEC 62304와
같은 국제표준에서 요구하는 정적 테스팅 대응 솔루션

소스코드를 분석하여 실행시간 오류와 같이 시스템에 치명적인 결함 검출
ISO 26262, EN 50128, IEC 61508 Certification 보유 및 미국 FDA의 Verification Process 사용 도구
CWE Compatible (CWE-658/659 항목 100% 지원)

Benefit

소스코드를 분석하여 SW 오작동 또는 실패(fail)로 이어질 수 있는 100가지 이상의 결함을 검출 정적분석 결과 호환을 위한 포맷 (SARIF, Static Analysis Results Interchange Format) 입/출력 지원 결함의 발생 경로를 추적하고 이벤트 설명을하여 문제의 원인파악 및 해결정보 제공 검출된 결함에 대하여 결함 유형, 결함 심각도에 따라 분류 또는 검색 검출결함을 예외 처리 할 경우 소명 양식DB 관리를 통해 문서 작업을 간결화 프로젝트별 맞춤화된 결과 리포트 출력 지원 결함의 중요도에 따라 프로젝트 별 중/경결함 설정 가능 Compiler 자동 Hooking 방식으로 분석하여 손쉽게 분석 가능 검출된 결함에 대한 호출함수 경로 및 SW 전체 구조에 대해 Visualization 제공 JIRA, Jenkins와의 연동 역할기반 접근 통제 기능(RBAC, Role Based Access Control) 제공

Environment
분석 대상: 소스코드 분석 대상 언어: C, C++, Java 지원 OS: Windows, Linux 지원 컴파일러: Visual Studio, gcc, g++, ARM, WindRiver, CodeWarrior, Renesas C/C++, Sun C, Sun C++, Microsoft C, TI CodeComposer C, WindRiver C/C++, Green Hills C, GNU Project C/C++, IAR, Intel C/C++, Hi-Tech C, QNX C/C++, SHARC, TigerSHARC, Blackfin 등

Application Security(Fortify SCA)

시큐어코딩을 위한 개발 소스 코드 보안 취약점 진단

주요기능 및 특장점

효과적인 소스 코드 보안성 진단   소스 코드에 대한 정적 분석 기법으로 개발 시에 보안 취약점을 조기에 탐지하여 조치할 수 있습니다. 또한 동적 분석과의 연동을 통한 하이브리드 분석을 통해 실제 공격과 소스 코드 레벨의 보안 취약점을 연계하여 한 단계 높은 수준의 보안성 진단을 수행할 수 있습니다. 적은 시간과 노력으로 효과적인 보안 취약점 테스트 정적/동적 분석 연계 및 하이브리드 분석 지원 세계적으로 검증된 강력한 분석 엔진   효과적인 보안 취약점 분석을 위해 단순 Text 분석 기법을 넘어 다양한 분석 알고리즘을 채택하였습니다. 다양한 분석 엔진 : 제어 흐름 분석, 데이터 흐름 분석, 의미 분석, 구조 분석, 버퍼 분석, 환경 분석 등 업계 촤다 개발 언어 및 플랫폼 지원   Micro Focus Fortify는 업계 최다 개발 언어 및 플랫폼을 지원함으로써 다양한 개발 환경에서 소스 코드의 보안성을 분석 및 진단할 수 있습니다. 지원 언어 : Adobe ColdFusion, ASP, .NET, C/C++, C#, Classic ASP, COBOL, HTML, Java, JavaScript/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, ABAP, Flex, Python, Mobile(Objective-C,AndroidJAVA), Ruby, Django, Xcode 등

Helix QAC

의료기기 SW신뢰성 검증 대응을 위한 정적분석 솔루션

IEC 62304에서 요구하는 의료기기 SW신뢰성 시험 (코딩규칙, 복잡도 검증) 지원
MISRAC/C++, AUTOSARC++, CERTC/C++, JSF++, HIC++와 같은 세계적인 코딩규칙 검증 도구
SW품질 메트릭 측정(HIS Metrics 포함, C언어 : 71개, C++언어 59개)
웹 브라우저 기반 분석 결과 공유 및 유저별 업무 할당기능으로 개발자, 품질담당자, 관리자 간 커뮤니케이션 향상 - 코딩규칙 위반사항 예외처리 시소명 양식 자동생성 으로 보고서 작성업무 최소화
분석결과 버전관리를 통해 버전별 위반사항 및 메트릭값 트렌드 관리

Helix QAC	Benefit	Function
	ISO 26262: Part 6 Coding Compliance 완벽 대응 가능 국제적인코딩규칙준수를통한개발자역량강화및SW신뢰성향상 개발자,품질담당자,관리자간커뮤니케이션향상 예외처리소명양식자동생성으로단순문서작업감소 프로그램결함위험감소 개발사이클초기에소스코드결함검출 소스코드신뢰성,이식성,유지보수성향상으로개발기간및비용절감 Time to market 단축 코드리뷰프로세스정립및팀워크 향상 위험감소와출력물에대한예측으로품질,일정,비용등절감	MISRAC/C++모든버전분석지원,AUTOSARC++코딩규칙분석지원 SW품질메트릭분석지원(C언어:71개,C++언어:59개,HISMetrics포함) 웹브라우저기반분석결과공유및유저별업무할당 위반사항 예외처리: 예외처리 소명양식 자동생성 / 보고서 작성 업무 감소 - 사용자정의코딩규칙추가 가능 분석결과버전관리를통해버전별위반사항및메트릭값트렌드관리 주요 IDE Integration 제공 (Visual Studio, Eclipse) 빌드자동화시스템연동을통한코딩규칙분석자동화가능 유저별접근권한설정 사용자 정의 리포트: 사용자가 원하는 형태의 리포트 구성 가능

Helix QAC
Benefit
ISO 26262: Part 6 Coding Compliance 완벽 대응 가능 국제적인코딩규칙준수를통한개발자역량강화및SW신뢰성향상 개발자,품질담당자,관리자간커뮤니케이션향상 예외처리소명양식자동생성으로단순문서작업감소 프로그램결함위험감소 개발사이클초기에소스코드결함검출 소스코드신뢰성,이식성,유지보수성향상으로개발기간및비용절감 Time to market 단축 코드리뷰프로세스정립및팀워크 향상 위험감소와출력물에대한예측으로품질,일정,비용등절감
Function
MISRAC/C++모든버전분석지원,AUTOSARC++코딩규칙분석지원 SW품질메트릭분석지원(C언어:71개,C++언어:59개,HISMetrics포함) 웹브라우저기반분석결과공유및유저별업무할당 위반사항 예외처리: 예외처리 소명양식 자동생성 / 보고서 작성 업무 감소 - 사용자정의코딩규칙추가 가능 분석결과버전관리를통해버전별위반사항및메트릭값트렌드관리 주요 IDE Integration 제공 (Visual Studio, Eclipse) 빌드자동화시스템연동을통한코딩규칙분석자동화가능 유저별접근권한설정 사용자 정의 리포트: 사용자가 원하는 형태의 리포트 구성 가능

WhiteSource

Microsoft에서 투자한 오픈소스 관리 솔루션

개요
전 세계 최대의 오픈소스 관리 솔루션 소스코드 내 모든 오픈소스 탐지 실시간 모니터링으로 보안 취약점 탐지 라이선스 컴플라이언스 분류 SDLC(Software Development Life Cycle)와 오픈소스 관리 통합