Industry Issue

비즈니스가 요구하는 속도에 맞춰 모바일 앱 보안 테스트 및 개발

Software Risk Analysis
작성자
관리자
작성일
2024-04-04 14:32
조회
161

비즈니스가 요구하는 속도에 맞춰 모바일 앱 보안 테스트 및 개발

 

Synopsys는 최근 여러 플랫폼에서 보안 앱을 제공하는 업무를 맡은 모바일 개발 팀의 적용 범위를 확장하기 위해 Dart 프로그래밍 언어 및 Flutter 애플리케이션 프레임워크에 대한 정적 애플리케이션 보안 테스트(SAST) 지원을 도입했습니다. 이는 20개 이상의 프로그래밍 언어와 200개 이상의 프레임워크 지원을 기반으로 하며 기존 Kotlin, Swift 및 React Native 지원을 보안 모바일 앱 개발에 중점을 둔 사용자를 위한 또 다른 지원 옵션입니다.

 

모바일 앱 보안 부족

모바일 애플리케이션은 고객에게 현대적인 사용자 경험을 제공하려는 모든 기업의 필수 사항이 되었습니다. 그러나 세간의 이목을 끄는 사이버 공격에 대한 빈번한 보고와 기업이 보다 안전한 소프트웨어를 생산하는 데 도움이 되는 프레임워크의 가용성에도 불구하고 많은 모바일 앱에는 여전히 언제든지 악용될 수 있는 심각한 취약점이 포함되어 있습니다.

NowSecure의 Mobile Risk Tracker에 따르면 공공 앱 스토어의 모바일 애플리케이션 중 85%에는 고위험 취약점이 하나 이상 포함되어 있거나 OWASP 모바일 애플리케이션 보안 표준 중 하나 이상 위반하고 있습니다.

 

개발팀을 위한 모바일 앱 보안 테스트

모바일 앱이 악용될 수 있는 명백한 위험에도 불구하고 많은 개발 팀은 시간과 관심에 대한 요구가 많기 때문에 보안 코딩 방식의 우선순위를 지정하는 데 어려움을 겪고 있습니다. Flutter 프레임워크는 팀이 웹 브라우저는 물론 iOS 및 Android 기기 모두에서 실행되는 앱을 구축하는 데 도움을 줌으로써 이러한 요구 사항 중 적어도 일부를 완화할 수 있는 기능으로 인해 최근 몇 년 동안 인기를 얻었습니다. 이러한 크로스 플랫폼 기능은 단일 코드베이스가 모바일 디바이스 시장의 99%를 처리할 수 있음을 의미합니다.

물론 크로스 플랫폼 프레임워크를 활용하면 개발 팀의 부담을 줄이는 데 도움이 되지만, 모바일 앱을 구축하든 다른 소프트웨어를 구축하든 상관없이 코드 보안을 보장하는 것이 어려울 수 있습니다. 개발 노력을 진정으로 최적화하려면 개발자는 비즈니스 가치를 제공하고 속도를 늦추지 않고 모바일 앱을 안전하게 테스트하는 데 집중할 수 있는 도구가 필요합니다. 아쉽게도 많은 SAST 도구는 오검출을 제공하고 개발자는 오탐지를 분류하는 데 시간을 낭비하게 되거나 가장 기본적인 보안 문제 이상의 것을 발견할 수 있는 심층 분석이 부족합니다. 이로 인해 개발 팀은 코드에 심각한 결함이 없는지 확인하지 못하면서 좌절감을 느끼게 됩니다.

 

개발 속도를 늦추지 않고 안전한 앱 제공

시간에 맞춰 좌절감을 주지 않고 일관되게 보안 코드를 생성하려면 개발자는 이미 사용하고 있는 도구와 작업 흐름 내에서 가장 중요한 취약점에 집중할 수 있도록 도와주는 모바일 앱 보안 테스트 도구가 필요합니다. 새로운 Dart 언어 지원은 취약점을 OWASP 모바일 상위 10개에 매핑하여 팀이 모바일 앱에 대한 가장 중요한 위협을 테스트하고 식별하고 우선순위를 지정할 수 있도록 돕습니다. 개발 프로세스 초기에 스캔을 실행하여 이러한 문제가 해결하기 가장 쉽고 다른 팀에 영향을 미치기 전에 이러한 문제를 식별할 수 있습니다.

Code Sight™ 는 IDE 내에서 자동으로 소스 코드를 스캔하는 IDE 플러그인이므로 코드가 작성되는 동안 문제가 식별됩니다. 적용 가능한 수정 지침은 코드가 커밋되기 전에 개발자가 이러한 문제를 해결하는 데 도움이 됩니다.

중요한 문제가 기본 브랜치에 병합되는 것을 방지하기 위해 모든 커밋 또는 풀 요청에서 정책 기반 스캔을 트리거할 수 있습니다. 보안 테스트 세부 정보는 널리 사용되는 SCM 및 CI/CD 도구 내에서 바로 제공되므로 팀은 도구를 전환하지 않고도 신속하게 협업하고 문제의 우선순위를 지정할 수 있습니다. 나중에 SDLC에서 더욱 심층적인 스캔을 실행하여 애플리케이션 어디에나 숨겨져 있을 수 있는 나머지 취약점을 찾아낼 수도 있습니다.


[그림 1] 문제 세부 정보와 실행 가능한 수정 조언은 개발자가 선호하는 워크플로 내에서 바로 제공됩니다.

 

최신 애플리케이션을 위한 Synopsys SAST

오늘날의 최신 애플리케이션은 10년 전에는 개발자와 보안 팀이 걱정할 필요가 없었던 몇 가지 잠재적인 공격 경로를 제시합니다. 모바일 앱 보안 테스트 외에도 이러한 팀은 코드형 인프라(IaC) 템플릿의 잠재적으로 위험한 설정 오류, 하드 코딩된 비밀이 실수로 공용 저장소에 푸시되는 문제, 대량의 데이터를 생성하는 AI 도구의 잠재력과 싸워야 합니다. 앱에 새로운 취약점이 발견되지 않는다는 보장은 없습니다.

Synopsys SAST 솔루션은 모든 애플리케이션에서 코드 결함과 취약점을 식별하고 해결하도록 지원함으로써 이러한 우려를 완화할 수 있습니다. Synopsys는 SDLC의 초기 단계 전반에 걸쳐 모바일 앱 보안 테스트 및 스캔을 자동화하고 주요 개발자 워크플로 내에서 바로 문제 세부 정보 및 해결 지침을 제공함으로써 심각한 취약점을 제거하는 동시에 개발자가 비즈니스에 필요한 속도로 작업할 수 있도록 지원합니다. 그리고 당사의 모든 SAST 제품은 동일한 스캔 엔진을 활용하므로 귀하가 선택하는 솔루션(Polaris Software Integrity Platform®, Software Risk Manager, Coverity® 또는 Code Sight)에 관계없이 귀하의 애플리케이션은 동급 최고의 SAST 적용 범위를 받게 됩니다.

 

Software Risk Manager 더 알아보기 CLICK

Coverity 더 알아보기CLICK

원문 게시일: 2024년 1월 23일

원문 기고자: Corey Hamilton

출처: https://www.synopsys.com/blogs/software-security/mobile-app-security-testing-flutter-dart.html

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#