DevPartner Developer News

1. New releases
2. Awards
3. DevPartner tips
4. New white papers

New Releases

컴퓨웨어, 웹 애플리케이션의 보안 기능을 강화하는 새로운 제품 및 서비스 출시
DevPartner SecurityChecker 2.0, 새로운 보안 기능과 Microsoft Visual Studio 2005에 대한 지원 추가

한국컴퓨웨어(www.compuware.co.kr 대표 정갑성) 이 새로운 버전의 컴퓨웨어 보안 분석 툴은 Microsoft Visual Studio 2005와 완벽하게 통합되도록 설계되었기 때문에 개발 및 테스트 팀이 애플리케이션 라이프사이클 초기에 보안 취약점을 신속하게 식별하고 수정함으로써 Microsoft ASP.NET Web 애플리케이션의 품질을 향상시키고 시간과 비용을 절약할 수 있다는 강점을 가지고 있다. 이와 더불어 컴퓨웨어는 VSLive!에서 애플리케이션 보안을 한층 강화할 수 있는 새로운 서비스를 발표했다.

Microsoft의 .NET Developer Product Marketing Group, 제품 매니저인 릭 사모나(Rick Samona)는 “Microsoft는 DevPartner SecurityChecker 2.0가 Visual Studio 2005를 지원 및 통합할 수 있게 된 데 대해 매우 기쁘게 생각한다. 애플리케이션 보안이 IT 조직들에게 매우 첨예한 사안으로 부상하는 상황에서 DevPartner SecurityChecker는 개발 및 테스트 팀이 보안 취약점을 파악하고 공격으로부터 애플리케이션을 보호할 수 있도록 보장한다.”라고 평가했다.

DevPartner SecurityChecker는 안전한 ASP.NET 애플리케이션의 개발 기간을 단축할 수 있는 보안 평가 툴이다. DevPartner SecurityChecker는 화이트박스(코드 스캐닝 및 실행 시간 분석)와 블랙박스(침입 테스트) 테스트 기법을 조합해 자동으로 보안 취약점을 식별함으로써 효율적으로 애플리케이션 보안을 유지하며 소스 코드에서 취약점의 위치를 확인할 수 있다. 또한 보안 취약점 탐지 프로세스가 자동화됨에 따라 개발자들은 주어진 시간과 예산 범위 내에서 secure ASP.NET Web 애플리케이션을 제공할 수 있다.

가트너(Gartner, Inc.)의 리서치 담당 이사인 테레사 라노위츠(Theresa Lanowitz)는 보고서에서 “애플리케이션 공격의 75%는 애플리케이션 수준에서 발생한다. 보안은 품질의 한 단면이자 품질을 좌우하는 중요한 사안이기 때문에 애플리케이션에는 보안 기능이 기본적으로 내장되어 있어야 하며 개발 주기의 마지막 단계에 테스트가 이루어져서는 안 된다. 오늘날 IT 조직들은 규제 준수, 규정, 위험 관리 및 계속해서 변화하는 우선 순위와 같은 새로운 문제에 대응하기 위해 애플리케이션 보안에 대한 비중을 확대하고 있다. 보안 관련 정보, 계획 및 요구 사항은 애플리케이션 수준에서 시작해야 한다.”라고 지적했다.

DevPartner SecurityChecker 2.0은 다음과 같은 새로운 기능과 향상된 특징을 제공한다.

• Visual Studio 2005 및 Microsoft .NET Framework 2.0과의 완벽한 통합
• 오탐(false positive) 보고 감소
  탐색 맵 작성 및 관리 기능 향상
• 기존 SQL Injection, XSS(Cross-Site Scripting ) 및 매개변수 변조 취약점 탐지 기능향상
• 검색 관련 규칙을 포함한 30가지의 새로운 무결성 규칙
• 숨겨진 컨텐트, 오류 정보, 엔트리 포인트 및 구성 정보가 포함된 페이지 등과 같은 구글 해킹 취약점
• 디버깅 데이터와 같이 공격자가 잠금을 해제하여 볼 수 있는 숨겨진 개발자 정보
• 쿠키 및 페이지 캐싱 취약점을 노린 HTTP 헤더 검사
• 기본 ASP.NET 검증 절차를 회피하기 위한 취약점 악용. 이로 인해 애플리케이션이 XSS(Cross-Site Scripting) 공격에 취약해 질 수 있음

HHK Datentechnik GmbH, 건설 CAD/GIS 사업부 책임자인 베타 테스터인 번드 오딩(Bernd Oerding)는 “DevPartner SecurityChecker 2.0를 통해 자사 개발 팀은 ASP.NET 애플리케이션에 있는 취약점을 찾아 해결할 수 있었다. 또한 DevPartner SecurityChecker 2.0를 이용해 코드를 검사하고 모든 오류와 가능한 보안 위험을 파악하는 것은 물론, 보안 문제를 식별하고 해결하는 방법에 관한 상세한 정보를 입수함으로써 전반적인 코드 품질과 애플리케이션 보안을 향상시킬 수 있었다.”라고 설명했다.

또한 컴퓨웨어는 특수한 전문지식을 필요로 하는 기업을 위해 ASP.NET 애플리케이션을 위한 보안 평가 서비스를 제공하고 있다. 이 서비스는 컴퓨웨어 IT 전문가들의 역량과 DevPartner SecurityChecker의 강점을 결합하여 IT 부서 및 개발 인력들이 ASP.NET 애플리케이션의 보안 취약점을 정확하게 평가할 수 있도록 지원한다. 컴퓨웨어 기술 인력들은 이러한 서비스를 통해 확인된 애플리케이션을 검토한 다음, Compuware DevPartner SecurityChecker를 이용해 보안 평가를 수행하고 애플리케이션에 3개 분석 모드를 적용한다. 이들 모드는 해커의 관점에서 코드 기반 분석, 실시간 분석 및 공격 시뮬레이션을 수행하는 데 초점을 맞추게 된다. 그런 다음 컴퓨웨어 컨설턴트들은 고객들이 발견된 취약점을 조사하고 수정하는 데 이용할 수 있는 상세 정보 보고서를 제공하게 된다.

컴퓨웨어의 전략 계획 담당 부사장인 밥 바커(Bob Barker)는 “DevPartner SecurityChecker는 점차 고객들에게 중요한 사안으로 부상하고 있는 애플리케이션 보안 문제를 완벽하게 해결할 수 있다. DevPartner SecurityChecker를 도입함으로써 IT 관리자들은 자체 팀들이 웹 애플리케이션 취약점과 관련된 비즈니스 위험을 완화할 수 있는 적절한 조치를 취할 수 있게 됐다.”라고 강조했다.

What's New

DevPartner SecurityChecker 2.0
컴퓨웨어는 애플리케이션 보안 분석 툴 DevPartner SecurityChecker의 최신 버전을 발표하였습니다. 이 최신 버전은 오늘날 개발자들의 애플리케이션 보안 요구사항을 다루는 데 초점을 맞춘 새로운 기능들을 추가하였기에 매우 반가운 제품입니다
DevPartner SecurityChecker 2.0 버전은 다음과 같은 특징과 향상된 기능들을 보여줍니다 :

Full integration with Visual Studio 2005
개발자들은 이제 DevPartner SecurityChecker의 기능을 마이크로소프트의 Visual Studio 2005에서도 쉽게 사용할 수 있습니다. DevPartner SecurityChecker 2.0은 Visual Studio 2005에 완벽히 통합되므로 사용자 인터페이스와 기능들은 개발자들에게 일관되고 친숙하게 보일 것입니다. DevPartner SecurityChecker 2.0은 또한 최신 .NET Framework 2.0을 지원합니다.

Improved ability to create and manage Discovery Maps
SecurityChecker 2.0을 사용하면, 검출(Discovery) 프로세스 동안 HTTP 요청과 응답 정보는 이제 모든 웹 애플리케이션에서 수집되어 보여지며 탐지 오류들이 조사될 것입니다. 게다가, 검출 프로세스 동안 방문했던 모든 페이지의 간소화된 목록을 제공하는 새로운 뷰가 추가되었습니다.

Minimize false positives
SecurityChecker 2.0은 SQL injection, parameter tampering, cross-site scripting, compile-time analysis 영역에서 오탐률(false positives)을 최소화하도록 향상되었습니다.

New Integrity Analysis rules
이 최신 버전에는 30개 이상의 새로운 무결성 분석 규칙들이 추가되었으며, 그 중 가장 중요하고 흥미로운 규칙들로는 다음과 같은 것들이 있습니다 :

• Google hacks - DevPartner SecurityChecker는 configuration, hidden, error, log-in 페이지들은 물론, 웹 애플리케이션 내부로의 공격 벡터 mapping을 허가하는 검색 엔진에 의해 인덱스화 될 수 있는 다른 사용자 정보들도 조사합니다.
• Forcing an application into trace/debug mode - 이 규칙은 어떤 숨겨진 디버깅 정보가 잠재적인 해커에 의하여 노출될 가능성이 있는지를 판단합니다.
• Locate vulnerabilities in HTTP headers - 이 규칙은 임베디드 쿠키 데이터로부터 비롯되는 cross-site scripting 공격으로부터 클라이언트 측을 보호하는 쿠키 보안과 같이 일반적인 취약성들에 대하여 HTTP header를 시험합니다.
• ASP.NET validation을 우회하는 Cross-site scripting attacks ? 이 규칙은 해커들이 디폴트 ASP.NET validation 절차를 우회하는 XSS 공격 스크립트를 삽입할 가능성이 있는 웹 페이지 내 약점을 조사합니다.

DevPartner Java™ Edition 4.1
DevPartner Java™ Edition은 현재 실행되고 있는 쓰레드에 대한 실시간 뷰, 상태, 히스토리 및 모니터링 되고 있는 쓰레드의 개수를 알려줍니다. 개발자는 프로그램의 동작과 어플리케이션의 느린 지점을 파악할 수 있습니다.
정규식 필터를 제공하여 프로파일링에 포함하거나 제외할 패키지와 클래스를 지정할 수 있습니다. 어플리케이션에서 필요한 부분만 집중적으로 성능, 메모리, 코드 커버리지와 쓰레드를 분석합니다.

What’s new in DevPartner Java Edition 4.1?

• 쓰레드 분석 - DevPartner Java™ Edition은 현재 수행되고 있는 쓰레드에 대한 실시간 뷰, 상태, 히스토리 및 모니터링 되고 있는 쓰레드의 개수를 알려줍니다. 개발자는 프로그램의 동작과 어플리케이션의 느린 지점을 파악할 수 있습니다.
• 웹스피어 포탈 - DevPartner Java는 Rational Application Developer에서 직접 포탈 어플리케이션을 프로파일링 할 수 있습니다.
• License borrowing - Java developers는 라이센스 서버가 할당한 라이센스를 네트워크에 연결되지 않은 상태로 사용이 가능합니다.새로 추가된 지원 OS, 플랫폼, IDE 및 버전
• Apache Tomcat 5.5
• BEA WebLogic Server 9.0
• IBM WebSphere Portal 5.1 (for IBM Rational Application Developer only)
• AIX 5.3
• HP/UX 11i v2
• Red Hat Linux 4.0
• JRockit 5.0 JVM
• HP JDK 5.0 JVM
• OptimalJ 4.1

Awards

DevPartner SecurityChecker는 이제 겨우 두 번째 릴리즈를 출시했음에도 불구하고 놀라운 수상경력을 보여주고 있습니다. 수많은 분석가들의 리뷰와 보도자료, 수상소식 등, DevPartner SecurityChecker는 IT 업계에 매우 놀라운 인상을 주고 있습니다.

Visual Studio Magazine 2005 Readers Choice Awards
DevPartner SecurityChecker는 the 2005 Visual Studio Readers Choice Award의 "Security and Copy Protection" 카테고리에서 수상했습니다. 이 상은 Visual Studio Magazine 독자들에 의해 선정되며 22개 개발 카테고리에서 우수한 소프트웨어에 수여됩니다.

Software Test & Performance 2005 Testers Choice Awards
DevPartner SecurityChecker는 소프트웨어 테스트와 성능 툴들의 우수성을 평가하는 The Testers Choice Awards의 "Security Test Tools" 카테고리에서 우승했습니다. 이 상의 카테고리들은 소프트웨어 품질을 향상시키기 위해 설계된 넓은 범위의 툴들을 포함합니다.

DevPartner tips
(by Ken Cowan, Compuware)

How to run DevPartner System Comparison Utility
DevPartner Studio의 숨겨진 보석 같은 기능 중 하나인 System Comparison utility를 소개합니다. 여러분은 ‘내 애플리케이션이 이 컴퓨터에서는 작동하는데 또 다른 컴퓨터에서는 왜 작동하지 않을까’ 하는 문제를 겪어보신 적이 있습니까? 또는 어제는 작동했던 프로그램이 오늘은 작동하지 않는 문제를 겪어보신 적이 있습니까? 이러한 의문에 답을 구하기 위하여 여러분은 두 컴퓨터 간의 차이점이 무엇인지, 혹은 무엇이 변했는지를 알아볼 필요가 있습니다. System Comparison은 시스템 정보 전체를 기록해 두었다가 그 차이점을 보여줍니다. 여러분은 이 정보를 무엇이 여러분의 애플리케이션에 영향을 주었는지 판단하기 위하여 사용할 수 있습니다.

System Comparison을 사용하려면, Start | Programs | Compuware DevPartner Studio | Utilities | System Comparison을 실행하십시오.

처음 화면에서, "Compare this computer's current state to a prior state"를 선택하십시오. 이 글을 쓰는 시점에, 제 컴퓨터는 1월 9일에 저장된 상태를 가지고 있었습니다. 이 기능을 선택했을 때, 저는 그 동안 GDI32.DLL이 변경되었다는 것을 알 수 있었습니다. 더욱 확실하게, 1월 10일에 KB912919를 설치했음을 Windows Update가 알려주었습니다.

만약 여러분이 Windows Update가 실행되었다는 사실을 몰랐고 이 파일이 어디에서 왔는지 알기를 원한다면, System Comparison 보고서에 있는 파일 버전 넘버를 보십시오. 제 경우에는 버전이 5.1.2600.2818였습니다.

그 다음에는, Microsoft.com 검색에서 "GDI32.dll 5.1.2600.2818"을 입력하십시오. 그러면 보안게시판으로의 링크를 찾을 수 있을 것입니다!

New white papers

:Continuous Integrated Testing

컴퓨웨어는 그 동안 다양한 Microsoft 이벤트에 참여하여 Continuous Integrated Testing (CIT) 방법론에 관한 새로운 메시지를 전달해 왔습니다.

CIT는 애플리케이션의 코드를 프로파일링 하면서 단위 테스트를 수행할 수 있는 결합된 개발 및 테스트 방법론입니다. 이는 개발자와 관리자에게 개발 중인 애플리케이션의 성능과 안정성에 대한 잦은 업데이트를 선사할 뿐 아니라 수정할 부분을 찾고 고치고 다시 테스트하는 작업을 더욱 높은 빈도로 자동화하여 수행하게 함으로써 상당한 비용을 절약할 수 있게 해 줍니다. 일반적으로, 시간이 지날수록 결함을 고치기 위한 비용이 기하급수적으로 증가한다는 사실은 이미 잘 알려진 사실입니다. CIT 방법론은 개발 초기 단계부터 애플리케이션 코드에 대한 테스팅을 자동화하여 계속적으로 수행함으로써 이러한 비용 발생을 방지해 줄 수 있습니다.

Continuous Integrated Testing How to get started