메인메뉴로 이동 본문으로 이동

컨텐츠 내용

  1. 고객센터
  2. OSS뉴스

OSS뉴스

OSS뉴스 조회 페이지
삼성전자, 오픈소스 취약점분석 자동화했다 관리자 / 2018.04.02

삼성전자가 오픈소스 소프트웨어(SW)를 사용하는 내부 개발환경에서 취약점 분석 과정을 자동화하는 시스템을 개발했다. 

이 시스템을 활용해 모바일 및 사물인터넷(IoT) 기기와 SW를 출시하기 전 개발 단계에서 오픈소스SW 사용에 따른 취약점 발생을 최소화했다.


삼성리서치(옛 삼성연구소) 시큐리티팀 황용호 시큐리티랩장은 지난달 서울 고려대학교 안암캠퍼스 제2회 IoT큐브컨퍼런스 

발표를 통해 삼성전자의 오픈소스 취약점 분석 자동화 시스템 개발 배경과 활용 현황을 공개했다.


오픈소스 취약점 분석 자동화 시스템 이름은 '자동취약점분석시스템(Automated Vulnerability Analysis system)'이라는 영어 표기 머릿글자를 딴 'AVAS'다. AVAS는 지난해 하반기부터 운영됐고 현재 삼성전자 내부 타이젠(Tizen)을 비롯한 오픈소스SW 활용 개발환경에 적용돼 있다. 

AVAS는 개발 프로젝트에 포함된 오픈소스SW 코드의 최신 취약점을 찾고 결함을 검증하는 기능을 제공한다.

 

SW개발자에게 그 프로젝트의 어느 부분에 패치가 필요한지 알려주려면, AVAS는 해당 시점에 가능한 많은 

오픈소스SW 취약점 정보를 최신 상태로 보유하고 있어야 한다. 

그리고 개발중인 코드와 외부 오픈소스SW 코드를 비교해 취약점이 있는지 판정해야 한다. 

이 '매칭알고리즘'은 고려대 IoT SW보안 국제공동연구센터(CSSA)가 개발한...생략(기사계속보기)