카네기 멜론 대학(Carnegie Mellon University) 소프트웨어 엔지니어링 연구소(SEI)의 CERT 부문은 스케일(SCALe, Source Code Analysis Laboratory) 애플리케이션의 출시를 15일(현지시각) 발표했다.
이는 공개 소스 첫 번째 릴리스로 SCALe(소스코드분석 랩)은 소스 코드 분석가가 여러 도구의 정적 분석 결과를 하나의 인터페이스로 결합할 수 있는 정적 분석 수집기/상관기이며, 도구에서 SEI(Software Engineering Institute) CERT 보안 코딩 표준에 대한 진단을 위한 매핑을 제공한다.
스케일은 모든 소스 코드 언어로 소프트웨어를 감사(audit) 하는 데 사용할 수 있으며, 이 버전은 CERT 보안 코딩 표준과 MITER의 CWE(Common Weakness Enumeration) 라는 두 가지 코드 결함 분류법을 기반으로 툴에 대한 경고 카테고리를 제공한다. CERT 보안 코딩 표준은 C, C++, Java 및 Perl의 보안 개발에 대한 자세한 지침을 지원하고 있다.
또 취약점을 유발할 수 있는 소스 코드 결함을 식별하는 데 사용할 수 있으며, 여러 결함 발견 정적 분석 도구의 출력을 사용하여 단일 정적 분석 도구보다 더 많은 코드 결함을 효율적으로 분석하는 데 사용할 수 있다.
SEI의 수석 소프트웨어 보안 연구원인 로리 플린(Lori Flynn)은 "여러 정적 분석 도구를 사용하면 발견된 결함 유형을 크게 늘릴 수 있으며, 일반적으로 경보가 너무 많아서 수동으로 감사(audit) 할 수 있는 것은 아닙니다."라며,
"스케일 시스템은 이러한 과정을 보다 쉽게 수행 할 수 있도록 설계되었습니다. 우리는 정확한 경고 분류 프로세스와 정교한 경고 우선순위 방법을 자동화하는 방법을 연구하고 있으며, 이 SCALe 버전에는 지난 3 년 동안 추가 된 기능이 포함되어 있습니다"라고 전했다.
이처럼 스케일 응용 프로그램은 경보 감사 프로세스를 단순화 시키며, 이 코드는 프로그램에 대한 소스 코드와 코드에서 실행된 정적 분석 도구 (결함 찾기 도구 및 코드 메트릭 도구)의 출력을 입력으로 사용한다.
이 입력을 통해 경고 및 관련 코드에 대한 브라우저 기반 인터페이스를 제공한다. 또한 잠재적인 취약성에 대한 경고 및 관련 정보의 간단한 우선순위를 제공하고 CERT 보안 코드 표준 및 CWE를 기반으로 코드를 수정하는 방법을 제공, 한번만으로 감사 업무의 효율성을 높인다.
참고: 위 오픈소스로 공개된 ‘소스 코드 분석 툴, 스케일(SCALe)’은 깃허브(GitHub)에서 다운 받을 수 있다. (다운받기)