AutoCrypt
Security
Analyzer
오픈소스 보안 관리가 필수적인 이유
오픈소스 사용에 따른 보안 리스크 증가,
라이선스 규정 위반으로 인한 법적 분쟁 발생,
소프트웨어 공급망 관리의 필요성,
다양한 오픈소스 사용 패턴에 의한 관리의 어려움 증대
AutoCrypt Security Analyzer는
차량용 소프트웨어 및 교통관리 시스템의
개발에서 공급까지 전 생명주기에 걸쳐 사용되는
모든 오픈소스 소프트웨어의 라이선스 및
보안취약점을 사전에 점검하고 해결합니다.
AutoCrypt Security Analyzer
FUNCTION
-
1. Code Privacy를 위해 소스코드 해시 암호화
모든 사용 언어 적용 가능
-
2. 빅데이터(VDB) 축적 관리
- 알려진 취약점 및 기계학습기반 비공개 피치 수집 관리
- 오픈소스 컴포넌트 수집, 자체 취약점 등록
-
3. AI 분석 알고리즘
- 함수 및 파일 기반 취약점분석 : 특허기술(VUDDY) 활용
- 패키지 매니저의 디펜던시 분석 통한 다양한 결과 도출
- 결과 피드백 학습 통한 정확도 향상 및 신규 취약점 탐지
-
4. Software BoM(Bill of Materials) 관리
대상 SW에서 사용된 모든 구성 항목, 라이선스 목록 제공
HOW WE WORK
-
개발 / 기획자
SW 개발 기획 시, 사용할 오픈소스 프로젝트 리스트 취합 후
보안취약점, 라이선스 및 품질에 대한 오픈소스 정보 확인 -
프로젝트 리더
SW 개발 전체 프로젝트 내, SW 거버넌스 정책 설정 및 자동 관리
-
프로젝트 설계/개발자
타당성 검토 및 개발계획 단계에서 선정된
오픈소스 프로젝트 기반, SW 설계 및 개발 진행 -
QA/보안/법무
개발 과정 및 완료 후, SW 거버넌스 정책 준수 여부,
취약점 식별 및 저작권 & 라이선스 위배사항 조치 요청
어떤 운영환경에서도,
안전한 오픈소스 SW관리시스템
-
Security Analyzer를 내부망에 도입하여 오픈소스 SW 관리시스템 구축
마스터 DB 사용 유형- 1. 중계서버를 통해 자동으로 정기적 DB 업데이트 진행
- 2. 완전한 폐쇄망의 경우, 저장 매체를 통한 물리적 업데이트 진행
-
Security Analyzer SaaS를 내부망에 연결하여 오픈소스 SW 관리시스템 구축
소스코드 Privacy 보호- 1. 사용자가 내부망에서 Security Analyzer CLI를 통해 소스코드 암호화(Hash)
- 2. 암호화된 파일을 Security Analyzer SaaS에 보내서 분석진행 하므로, 소스코드 외부노출 없음
WHY AUTOCRYPT
함수 단위 미세분석으로
오탐 및 과탐 발생율 제로 수준
취약점만 해결 가능한
검증된 패치정보 제공
컴포넌트 단위 포함, 함수단위의
자체 취약코드 등록 및 탐지 기능
변경 및 조각난 유사코드 매칭으로
알려지지 않은 취약점까지 탐지