1. 2차년도 수행 결과 종합
(1) 자동화된 오픈소스 수집기 확보
가. 취약점이 예상되는 오픈소스를 先 수집하기 위한 위험성기준 및 분류기술 확보 나. 취약점 분석 자료로부터 빅데이터 기반을 활용한 재수집 대상 선정기준 도출
(2) 강력해진 취약점 탐지엔진 및 패치가이드
가. 정적분석엔진 고도화 및 기호기반 교차분석을 통한 탐지율 및 오탐률 성능 최적화
나. 하이브리드 분석을 통한 정적, 동적분석 결과의 융합 패치가이드 제공
(3) 데이터 레벨의 오류검출 및 테스트 환경
가. 기호기반 분석을 통한 데이터 레벨의 검증된 오류 입력정보 셋 추출 나. 스마트퍼징을 통한 Exploit 테스트 환경 구축
다. 수집된 오픈소스의 자동빌드 및 배포(제한적) (4) 글로벌 표준 준수 및 SW 품질향상
가. 글로벌 표준의 CWE 호환성 인증 획득
나. 소스 의존성 분석도구를 활용한 SW품질 향상 및 잠재적 Vulnerability 추출 다. 글로벌 소스 Repository를 지향하는 소스 저장소 확보
2. 3차년도 주요 수행계획
나. 기호기반 분석의 영역 고도화
o 정적 취약점 분석의 소스 코드 분석 기법에 대한 연구 데이터와 구현 기술 간
o 정보보호 관리체계가 대상으로 하는 표준 비즈니스 모델을 분석하여, 활용
옵션으로 으로 점검할 수 있는 기법 도출
o 취약점 관리 엔진에서는 업로드 된 소스코드의 취약점 분석을 위해 정적분석, 동적 분석 및 Exploitable 검증을 수행하고 분석된 정보는 취약점 분석 DB를 통해 취약소스 형상관리 엔진에 전송
o 취약 소스코드 형상관리 엔진에서는 취약점 분석엔진으로부터 취약점 분석 결과를 전송 받아 취약점 학습 에이전트를 통해 취약 코드와 취약 패턴과 취약점 수정 이력을 학습한 후 취약점 검출 빈도 계산
o 학습되고 계산된 정보는 취약점형상관리 DB에 저장되고 관리되며, 취약점 프로파일을 생성하여 취약점분석 DB로 전송하여 계산된 취약점 빈도에 따라 취약점관리 List 업데이트하고 오픈 소스의 시큐어 코딩이 이루어진 후 재검사 시 패턴학습 결과에 따라 취약 패턴만 재검사 수행
o 취약점분석 엔진에서 오픈 소스가 신규 코드인지 업데이트 버전 소스 코드인지를 판단하여 수정된 업데이트 버전 소스 코드일 경우 취약 부문의 정적분석과 취약부문의 동적 분석 및 Exploitable 검증을 수행한 후 분석 결과를 취약점분석 DB에 저장
o 2차 분석 결과 취약점이 다시 발견되면 취약 소스 형상관리 엔진에 분석 결과를 전송하여 해당 취약점의 코드 및 패턴을 학습하고 수정된 취약점이력을 학습한 후 취약점빈도를 재계산하여 학습결과를 취약점학습 DB에 저장
o 취약점학습 DB에 저장된 정보를 기반으로 취약점분석 Profile을 생성하여 취약점분석 DB에 전송하여 취약점분석 항복 List를 업데이트
o 취약점 학습 프로파일의 취약점 별 가중치 연산 기법 연구