AutoCrypt Security Analyzer
차량용 오픈 소스 보안 취약 자동분석 툴
OVERVIEW
안전한 SDV 차량의 시작,
AutoCrypt Security Analyzer
소프트웨어 중심으로 진화하는 차량 (SDV, Software Defined Vehicle)의 가속화로 인하여 차량 완성차 업체 및 소프트웨어 제공 업체들은 오픈 소스 소프트웨어 (OSS)를 도입하며 개발 환경을 구축하고 있습니다.
최근 99% 이상의 기업들이 오픈 소스를 적극 활용해 전체 소프트웨어 코드의 75% 이상이 오픈 소스 기반으로 구축되어 있습니다. 임베디드 차량 소프트웨어의 대부분 오픈 소스 코드로 이루어진 점을 감안하였을 때 보다 안전한 환경 구축을 위하여 오픈 소스 구성 분석과 취약성 관리 솔루션 도입은 필수적으로 고려되어야 합니다.
AutoCrypt Security Analyzer는 자동화된 오픈 소스 보안 취약점 분석 솔루션으로소프트웨어 구성, 보안 취약성, 라이선스 관리를 위한 상세 SBOM*을 제공해 공급망의 보안을 보장합니다.
차량용 소프트웨어 및 교통 관리 시스템의 개발에서 공급까지 전 생명 주기에 걸쳐 사용되는 모든 오픈소스 소프트웨어의 라이선스 및 보안 취약점을 사전에 점검합니다.
FEATURE
취약점 관리 솔루션의 필수
AutoCrypt SA
높은 정확도의 최신 SBOM
소프트웨어에서 사용하는 모든 오픈 소스 구성과 라이선스 목록을 제공합니다. SPDX와 CycloneDX 표준 SBOM 형식을 지원합니다.
높은 분석 정확도와 편이성
독점 특허 기술인 VUDDY*, CENTRIS*를 활용해 코드 스니펫까지 정밀하게 분석하여 높은 분석, 정확도 및 편이성을 제공합니다.
정밀한 라이선스 이슈
취약한 오픈 소스 구성 요소를 파악하고 컴포넌트 분석을 통해 증명된
패치 정보를 제공합니다.
사용자 정의
취약점 관리 및 지원
사용자 정의를 사용하여 기능별로
자체 취약 코드를 등록하고
관리할 수 있습니다.
HOW WE WORK
충전기 관제시스템
- 개발 / 기획자
SW 개발 기획 시, 사용할 오픈소스 프로젝트 리스트 취합 후 보안 취약점, 라이선스 및 품질에 대한 오픈소스 정보 확인
- 프로젝트 리더
SW개발 전체 프로젝트 내, SW 거버넌스 정책 설정 및 자동 관리
회원관리용 앱
- 프로젝트 설계 / 개발자
타당성 검토 및 개발계획 단게에서 선정된 오픈소스 프로젝트 기반,SW설계 및 개발 진행
- QA / 보안 / 법무
개발 과정 및 완료 후, SW거버넌스 정책 준수 여부, 취약점 식별 및 저작권 & 라이선스 위배사항 조치 요청
유지보수
- SW의 유지보수 및 폐기
WHY AUTOCRYPT
빠르고 정확하게 스캔하고 모든 단계의 취약점을 가이드합니다.
AutoCrypt Security Analyzer는 자동차의 구성 요소 개발, 제품 생산 후 전 단계에 걸쳐 취약점을 모니터링, 감지하고, 대응을 감지합니다. 소프트웨어 프로그램은 다양한 오픈 소스로 구성되고 구축되기에 OSS의 취약점이 알려져도 소프트웨어의 취약점 구성 요소를 파악하기 어려울 수 있습니다. OSS의 취약성 관리를 위해서는 소프트웨어 내 모든 오픈 소스 구성 요소를 명확히 파악하는 것이 중요합니다. 이미 미국 내에서는 SBOM 관행을 통해 소프트웨어의 구성 목록을 쉽게 감지하고 패치하여 취약점을 방어하고
대응이 가능 합니다.
아우토크립트의 SA는 제품 주기 전반의 취약성을 상세하게 분석 가능합니다.
• VDB(SA Vulnerability Database)는 취약점 목록과 머신 러닝 기반 패치, 소프트웨어 오픈 소서 구성, 사용자 정의 취약점을 저장하고 관리합니다.
• SA 스캐너는 소프트웨어 소스 코드 복사본을 스캔하고 암호화된 파일로 저장합니다.
• 스캔된 소스코드와 데이터베이스를 비교하고 개별 파일의 기능을 기반해 취약성 분석을 진행하고 모든 가능성을 감지합니다.
• 소프트웨어 내 모든 오픈 소스 구성 요소 목록과 라이선스 목록을 식별해 제공하고 취약성 관리가 가능하도록 합니다.
• 분석 과정이 끝난 후에는 수동으로도 직접 사용자가 권장 패치를 사용해 취약점을 고칠 수 있도록 상세한 권장 패치 목록을 제공합니다.
어떠한 환경에서도
모든 취약점을 관리하는
Autocrypt Security Analyzer
•고객사 서버 구축형
Security Analyzer를 내부망에 도입하여 오픈소스 SW 관리시스템 구축이 가능합니다.
– 마스터 DB 사용 시 중계 서버를 통해 자동적으로 정기적 DB 업데이트를 진행합니다.
– 완전한 폐쇄망의 경우, 저장 매체를 통해 물리적 업데이트를 진행할 수 있습니다.
•SaaS 클라우드형
Security Analyzer를 내부망에 연결하여 오픈 소스 SW 관리 시스템 구축이 가능합니다.
– 소스코드는 암호화된 파일에 안전하게 저장되어 강력하게 보호 됩니다.
– 사용자가 내부망에서 Security Analyzer CLI를 통해 소스코드 암호화(Hash) 합니다.
– 암호화된 파일은 Security SaaS에 보내 분석을 진행하므로, 소스코드의 외부 노출이 없습니다.
어떠한 운영 환경에서도
안전한 오픈 소스 SW 관리 시스템
제로에 가까운 오탐률
함수 단위의 미세분석으로 오탐 및 과탐 발생률 제로 수준
백포팅 해법
취약점만 해결 가능한 검증된
패치정보 제공
자체 취약점 관리 기능
컴포넌트 단위 포함, 함수단위의
자체 취약코드 등록 및 탐지 기능
Zero Day 취약점 탐지
변경 및 조각난 유사코드 매칭으로 알려지지 않은 취약점까지 탐지
RESOURCES
