Static Analysis for Security

Posted 2006. 11. 7. 15:56
포항공대유닉스보안연구회(PLUS) 정기 세미나용으로 정적 보안 검사 도구에 관한 발표 자료를 만들었습니다. 보안 검사 도구인 ITS4를 만든 Cigital 사의 Static Analysis for Security라는 글을 참고로 하였습니다.




정작 보안 검사 도구는 정적 검사(static analysis) 기술을 응용해 실행 없이 소소 코드만 분석해서 잠재적인 보안 위협을 잡아내는 도구입니다. 패턴이 널리 알려진 취약점의 경우 보안에 대한 전문 지식 없이도 손쉽게 자동으로 검출할 수 있다는 장점이 있습니다.

여기서 소개하는 도구는 다음과 같습니다. C/C++을 이용해서 시스템 프로그래밍을 작성하시는 분이라면 관심을 가지시면 좋을 듯 합니다.

- Boon
- CQual
- xg++
- Eau Claire
- MOPS
- Splint