KR101876685B1 - SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF - Google Patents

SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF Download PDF

Info

Publication number
KR101876685B1
KR101876685B1 KR1020170136020A KR20170136020A KR101876685B1 KR 101876685 B1 KR101876685 B1 KR 101876685B1 KR 1020170136020 A KR1020170136020 A KR 1020170136020A KR 20170136020 A KR20170136020 A KR 20170136020A KR 101876685 B1 KR101876685 B1 KR 101876685B1
Authority
KR
South Korea
Prior art keywords
information
software
spdx
vulnerability
vulnerable
Prior art date
Application number
KR1020170136020A
Other languages
Korean (ko)
Inventor
김민수
신동명
조용준
윤호영
Original Assignee
엘에스웨어(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스웨어(주) filed Critical 엘에스웨어(주)
Application granted granted Critical
Publication of KR101876685B1 publication Critical patent/KR101876685B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Disclosed are a system and a method for managing vulnerability of a software by using software package data exchange (SPDX) technology. According to an embodiment of the present invention, the system for managing vulnerability of a software by using SPDX technology comprises a sending system matching vulnerability information on an open-source software to SPDX information to manage matching information based on a matched result; a detection system comparing the matching information provided by the sending system with previously registered reference SPDX information to detect a vulnerable software; and a management system controlling operation of the vulnerable software according to a vulnerability degree of the vulnerable software detected by the detection system.

Description

SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템 및 그 방법{SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a system and a method for managing software vulnerabilities using SPDX technology,

본 발명은 소프트웨어 관리 기법에 관한 것으로서, 보다 상세하게는 SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템 및 그 방법에 관한 것이다.The present invention relates to software management techniques, and more particularly, to a system and method for managing software vulnerabilities using SPDX technology.

사후 발견 취약점에 대한 기존 대응 방안은 개발자·개발사가 직접 취약점을 인지한 이후에만 대응이 가능하다. 매우 큰 개발사, 또는 매우 한가하고 보안에 매우 관심이 있는 개발자가 아닌 이상, 취약점 정보의 경고를 제공하는 것에 정확하고 신속하게 반응하는 것을 기대하는 것은 어렵다. 경우에 따라서는 수정을 할 여유나 동기가 없거나 책임을 인정하지 않기 위하여, 취약점을 인지하고도 사용자에게 알리지 않는 경우가 많을 것임을 충분히 예상할 수 있다.Existing countermeasures against post-detection vulnerabilities can be dealt with only after the developers / developers recognize the vulnerabilities directly. It is difficult to expect to respond correctly and quickly to providing warnings of vulnerability information unless it is a very large developer, or a developer who is very busy and very interested in security. In some cases, it can be expected that many users will not be notified of the vulnerability even though they are aware of the vulnerability so that there is no room for amendment or motivation or acknowledgment of responsibility.

이 문제가 개발자·개발사가 직접 개발한 부분에서 일어난다면 어느정도 대응을 기대할 수 있지만, 오픈 소스 소프트웨어나 구입한 소프트웨어·라이브러리를 개발 소프트웨어에 사용하는 경우, 직접 개발하지 않았기 때문에 인지 가능성이 낮아진다. 이는 사용자에게도 동일하게 적용되는 이유로서, 간접적으로 사용하는 소프트웨어·라이브러리의 경우에는 인지가 불가능하기 때문에, 해당 취약점을 직접 인지하였다고 하더라도 대응의 필요성이 있는지 조차 알 수 없는 경우가 발생할 수 있다.If this problem occurs in the part developed by the developer / developer himself or herself, he / she can expect some response. However, when the open source software or the purchased software library is used in the development software, This is because the same applies to the user. In the case of a software library used indirectly, it is impossible to recognize the vulnerability. Therefore, even if the vulnerability is directly recognized, it may happen that the user does not even know whether there is a necessity of countermeasure.

먼저, 가장 신속하고 간단한 방법인 결함 문제에 대한 공지는 거의 이루어지지 않고 효과도 미약하다. 개발자·개발사가 자체적으로 결함 문제에 대하여 공지를 하는 경우, 사용자가 제작사의 웹사이트의 공지를 확인하는 경우가 거의 존재하지 않는다는 점에서 무의미 함을 알 수 있다. 사용자 등록을 한 경우에는 메일로 연락을 하거나, 또는 언론사에 보도자료를 배포하는 경우도 있지만, 이 모든 과정이 개발사가 아직 대응을 할 수 없는 상황에서 개발사의 의지로 공개해야 한다는 점에서, 강제성이 없고 효과도 의심스럽다.Firstly, the most rapid and simple method, the defect problem, is hardly noticed and the effect is weak. It is pointless that there is almost no case where the user confirms the announcement of the manufacturer's web site when the developer / developer notifies itself of the defect problem. In the case of user registration, we may contact you by e-mail or distribute the press release to the media. However, since all of these processes must be released by the developer in the situation that the developer can not respond yet, No effect and I doubt it.

업데이트 및 패치를 제공하는 경우에는 개발사가 문제를 인지하고, 해결했다는 전제가 붙는 시점에서 너무 늦은 대응이기 때문에, 보안 문제에 대하여 선제적 대응을 하지 못한다는 문제가 있다.In the case of providing updates and patches, there is a problem in that the developer can not preemptively respond to security problems because it is too late to respond to the premise that the developer has recognized and solved the problem.

SCAP(Security Content Automation Protocol)은 업데이트 및 패치 제공보다는 약간 더 빠르게 대응을 할 수단을 제시한다는 점에서는 더 나은 방법이다. 하지만, 이 또한 오픈 소스 소프트웨어 등의 외부 개발 소프트웨어·라이브러리를 사용하는 경우에, 개발자가 인지하지 못할 가능성을 가지고 있다는 점에서 여전히 취약한 면을 가지고 있다.The Security Content Automation Protocol (SCAP) is a better approach in that it offers a means of responding slightly faster than providing updates and patches. However, it is still vulnerable in that it has the potential to be unrecognizable by developers when using external development software libraries such as open source software.

등록특허공보 제10-1645019호, 공고일자 2016년08월02일Patent Registration No. 10-1645019, date of publication August 02, 2016 등록특허공보 제10-0916329호, 공고일자 2009년09월11일Patent Registration No. 10-0916329, Publication Date September 11, 2009 등록특허공보 제10-1640479호, 공고일자 2016년07월18일Patent Registration No. 10-1640479, Date of Publication: July 18, 2016

이러한 종래 기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 오픈 소스 소프트웨어의 취약점 정보와 SPDX 정보를 매칭시키고 매칭시킨 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하며, 검출된 취약 소프트웨어의 취약 정도에 따라 해당 소프트웨어를 제어하도록 한, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템 및 그 방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in an effort to solve the problems of the prior art, and it is an object of the present invention to detect weak software by comparing vulnerability information of open source software with SPDX information and matching information with previously registered reference SPDX information, The present invention provides a system and method for managing software vulnerabilities using SPDX technology, in which the software is controlled according to the degree of vulnerability of the software.

다만, 본 발명의 목적은 상기 목적들로 한정되는 것이 아니며, 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위에서 다양하게 확장될 수 있을 것이다.It should be understood, however, that the present invention is not limited to the above-described embodiments, and may be variously modified without departing from the spirit and scope of the present invention.

상기 본 발명의 목적을 달성하기 위하여, 본 발명의 한 관점에 따른 SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템은 오픈 소스 소프트웨어의 취약점 정보와 SPDX(Software Package Data Exchange) 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 관리하는 발신 시스템; 상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하는 검출 시스템; 및 상기 검출 시스템으로부터 검출된 상기 취약 소프트웨어의 취약 정도에 따라 해당 취약 소프트웨어의 운영을 제어하는 관리 시스템을 포함할 수 있다.According to an aspect of the present invention, there is provided a system for managing a vulnerability of software using SPDX technology according to an aspect of the present invention, the vulnerability information of open source software being matched with software package data exchange (SPDX) An originating system for managing matching information as a result of matching; A detection system for detecting vulnerable software by comparing the matching information provided from the originating system with previously registered reference SPDX information; And a management system for controlling the operation of the vulnerable software according to the degree of vulnerability of the vulnerable software detected from the detection system.

또한, 상기 발신 시스템은 새로운 취약점이 발견되는 경우 취약 정보와 SPDX 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 생성하고, 상기 생성된 매칭 정보를 상기 검출 시스템에 제공할 수 있다.In addition, when a new vulnerability is found, the originating system may generate matching information as a result of matching weak information and SPDX information, and may provide the generated matching information to the detection system.

또한, 상기 발신 시스템은 상기 오픈 소스 소프트웨어의 취약점 정보를 저장하는 취약점 정보 DB; 상기 오픈 소스 소프트웨어의 적어도 하나의 SPDX 엘리먼트를 포함하는 SPDX 정보를 저장하는 SPDX 정보 DB; 새로운 취약점이 발견되는 경우 실시간으로 취약점 정보의 취약점이 영향을 끼치는 소스 파일에 해당하는 SPDX 엘리먼트를 검색하고, SPDX 엘리먼트와 취약점 정보를 매칭시켜 그 매칭 시킨 결과로 매칭 정보를 생성하는 매칭부; 및 상기 생성된 매칭 정보를 상기 검출 시스템에 제공하는 통신부를 포함할 수 있다.Also, the origination system may include a vulnerability information DB storing vulnerability information of the open source software; An SPDX information DB for storing SPDX information including at least one SPDX element of the open source software; A matching unit for searching the SPDX element corresponding to a source file affected by the vulnerability of the vulnerability information in real time when a new vulnerability is found and for generating matching information as a result of matching the SPDX element with the vulnerability information; And a communication unit for providing the generated matching information to the detection system.

또한, 상기 검출 시스템은 상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 그 비교한 결과로 취약 오픈 소스 소프트웨어 및 해당 취약 오픈 소스 소프트웨어를 포함하는 취약 소프트웨어를 검출하고, 상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 생성하여 상기 관리 시스템에 제공할 수 있다.In addition, the detection system may compare the matching information provided from the originating system with pre-registered reference SPDX information, detect vulnerable software including vulnerable open-source software and vulnerable open-source software as a result of the comparison, A vulnerability detection report for the detected vulnerable software may be generated and provided to the management system.

또한, 상기 검출 시스템은 관리 대상 소프트웨어의 적어도 하나의 기준 SPDX 엘리먼트를 포함하는 기준 SPDX 정보를 저장하는 기준 SPDX 정보 DB; 상기 발신 시스템으로부터 매칭 정보를 제공 받는 제1 통신부; 상기 제공 받은 매칭 정보와 기준 SPDX 정보를 비교하여 그 비교한 결과로 매칭 정보 내 SPDX 엘리먼트와 동일한 기준 SPDX 엘리먼트를 포함하는 관리 대상 소프트웨어를 취약 소프트웨어로 검출하는 검출부; 및 상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 상기 관리 시스템에 제공하는 제2 통신부를 포함할 수 있다.The detection system may further include: a reference SPDX information DB storing reference SPDX information including at least one reference SPDX element of the managed software; A first communication unit receiving matching information from the calling system; A detecting unit for comparing the provided matching information with the reference SPDX information and detecting the managed software including the same reference SPDX element as the SPDX element in the matching information as a result of the comparison by the vulnerable software; And a second communication unit for providing a vulnerability detection report for the detected vulnerable software to the management system.

또한, 상기 관리 시스템은 상기 검출 시스템으로부터 제공 받은 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하고 상기 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어할 수 있다.Also, the management system may search for control information using vulnerability information in the vulnerability detection report provided from the detection system, and control the operation of the vulnerable software or system according to the retrieved control information.

또한, 상기 관리 시스템은 관리 대상 소프트웨어 또는 시스템에 대한 제어 권한 및 제어 계획을 포함하는 제어 정보를 저장하는 제어 계획 정보 DB; 상기 검출 시스템으로부터 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 제공 받는 통신부; 및 상기 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하여 그 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어하는 제어부를 포함할 수 있다.Also, the management system may include a control plan information DB storing control information including a control right and a control plan for the software or the system to be managed; A communication unit for receiving a vulnerability detection report on the vulnerable software detected by the detection system; And a control unit for searching the control information using the vulnerability information in the vulnerability detection report and controlling the operation of the vulnerable software or system according to the retrieved control information.

본 발명의 다른 한 관점에 따른 SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 방법은 발신 시스템에서, 오픈 소스 소프트웨어의 취약점 정보와 SPDX(Software Package Data Exchange) 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 관리하는 단계; 검출 시스템에서, 상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하는 단계; 및 관리 시스템에서, 상기 검출 시스템으로부터 검출된 상기 취약 소프트웨어의 취약 정도에 따라 해당 취약 소프트웨어의 운영을 제어하는 단계를 포함할 수 있다.A method for managing vulnerabilities of software using SPDX technology according to another aspect of the present invention includes matching vulnerability information of open source software with software package data exchange (SPDX) information in a source system, Managing information; Detecting, in the detection system, the vulnerable software by comparing the matching information provided from the originating system with previously registered reference SPDX information; And controlling the operation of the vulnerable software in accordance with the vulnerability of the vulnerable software detected from the detection system in the management system.

또한, 상기 관리하는 단계에서는 새로운 취약점이 발견되는 경우 취약 정보와 SPDX 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 생성하고, 상기 생성된 매칭 정보를 상기 검출 시스템에 제공할 수 있다.Also, in the managing step, when a new vulnerability is found, the vulnerability information and the SPDX information are matched to generate matching information, and the generated matching information may be provided to the detection system.

또한, 상기 검출하는 단계에서는 상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 그 비교한 결과로 취약 오픈 소스 소프트웨어 및 해당 취약 오픈 소스 소프트웨어를 포함하는 취약 소프트웨어를 검출하고, 상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 생성하여 상기 관리 시스템에 제공할 수 있다.In the detecting step, the matching information provided from the originating system is compared with previously registered reference SPDX information, and as a result of the comparison, the vulnerable software including the vulnerable open source software and the vulnerable open source software is detected, A vulnerability detection report for the detected vulnerable software may be generated and provided to the management system.

또한, 상기 제어하는 단계에서는 상기 검출 시스템으로부터 제공 받은 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하고 상기 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어할 수 있다.Also, in the controlling step, the control information may be retrieved using the vulnerability information in the vulnerability detection report provided from the detection system, and the operation of the vulnerable software or the system may be controlled according to the retrieved control information.

이처럼 본 발명은 오픈 소스 소프트웨어의 취약점 정보와 SPDX 정보를 매칭시키고 매칭시킨 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하며, 검출된 취약 소프트웨어의 취약 정도에 따라 해당 소프트웨어를 제어함으로써, 고의적, 비고의적 취약점 정보 제공의 연체 또는 부재를 방지할 수 있다.As described above, according to the present invention, vulnerable software is detected by comparing vulnerability information of the open source software with SPDX information and matching pre-registered reference SPDX information, and by controlling the corresponding software according to the vulnerability of the detected vulnerable software, Delay or inability to provide intentional and unintentional vulnerability information can be prevented.

또한, 본 발명은 취약 정보에 따라 해당 소프트웨어를 제어하는 것이 가능하기 때문에, 보안 문제에 대하여 선제적 대응이 가능할 수 있다.Further, since the present invention can control the corresponding software according to the weak information, it is possible to preemptively respond to the security problem.

다만, 본 발명의 효과는 상기 효과들로 한정되는 것이 아니며, 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위에서 다양하게 확장될 수 있을 것이다.However, the effects of the present invention are not limited to the above effects, and may be variously extended without departing from the spirit and scope of the present invention.

도 1은 본 발명의 일 실시예에 따른 오픈 소스 소프트웨어의 취약점을 관리하기 위한 시스템을 나타내는 도면이다.
도 2는 도 1에 도시된 발신 시스템의 상세한 구성을 나타내는 도면이다.
도 3은 도 1에 도시된 검출 시스템의 상세한 구성을 나타내는 도면이다.
도 4는 도 1에 도시된 관리 시스템의 상세한 구성을 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 오픈 소스 소프트웨어의 취약점을 관리하기 위한 방법을 나타내는 도면이다.FIG. 1 illustrates a system for managing vulnerabilities of open source software according to an embodiment of the present invention. Referring to FIG.
Fig. 2 is a diagram showing a detailed configuration of the origination system shown in Fig. 1. Fig.
Fig. 3 is a diagram showing a detailed configuration of the detection system shown in Fig. 1. Fig.
FIG. 4 is a diagram showing a detailed configuration of the management system shown in FIG. 1. FIG.
5 is a diagram illustrating a method for managing vulnerabilities of open source software according to an exemplary embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

이하, 첨부되는 도면을 참조하여 본 발명의 예시적인 실시형태에 따른 SPDX(Software Package Data Exchange) 기술을 이용하여 오픈 소스 소프트웨어의 취약점을 관리하기 위한 시스템 및 그 방법을 설명한다. 특히, 본 발명에서는 오픈 소스 소프트웨어의 취약점 정보와 SPDX 정보를 매칭시키고 매칭시킨 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하며, 검출된 취약 소프트웨어의 취약 정도에 따라 해당 소프트웨어를 제어하도록 한, 새로운 소프트웨어 관리 방안을 제안한다.Hereinafter, a system and method for managing vulnerabilities of open source software using SPDX (Software Package Data Exchange) technology according to an exemplary embodiment of the present invention will be described with reference to the accompanying drawings. In particular, according to the present invention, vulnerable software is detected by comparing vulnerability information of the open source software with SPDX information and comparing the information with the previously registered reference SPDX information, and controlling the software according to the vulnerability of the detected vulnerable software We propose a new software management plan.

SPDX 정보는 소프트웨어의 소스 코드 및 각종 구성 요소에 대하여 파일 또는 패키지 단위로 메타 데이터를 포함하는데, 이 단위 정보를 SPDX 엘리먼트(element)라 부른다. 이는 파일의 이름, 작성 일시, 작성자, 적용된 라이선스 정보 등의 수많은 정보를 포함하지만, 본 발명에 있어서 필요한 정보는 구성 요소를 특정하기 위한 고유 식별 정보만이 필요하다. SPDX에서는 각 SPDX 엘리먼트를 식별하기 위하여 EDR(External Document Reference)이라는 고유 식별 정보를 도입하고 있어서, 본 발명에서는 이를 기준으로 소프트웨어의 구성 요소를 구별한다. 하지만, 이 이외에도 파일의 해쉬값(hash value) 정보, 패키지의 이름 및 버전 정보 등을 통하여서도 식별할 수 있다. 다만, EDR을 생성하는 것은 SPDX 포맷에서는 필수 사항이기 때문에, EDR 이외의 정보를 이용하여 고유 식별 정보를 만드는 것은 매우 특수한 상황에만 해당될 것이다.The SPDX information includes metadata in the file or package unit for the source code and various components of the software, and this unit information is called an SPDX element. This includes a lot of information such as the name of the file, the date and time of creation, the creator, the applied license information, and the like, but the information necessary for the present invention requires only unique identification information for specifying the component. In SPDX, unique identification information called an external document reference (EDR) is introduced to identify each SPDX element. In the present invention, the components of software are distinguished based on this. However, it is also possible to identify the hash value of the file, the name of the package, and version information. However, creating EDR is a requirement in SPDX format, so creating unique identification information using information other than EDR will only be possible in very specific circumstances.

이 SPDX 정보는 소프트웨어 개발자·개발사가 소프트웨어를 제공할 때 또는 제공한 후에 사용자에게 제공되어야 한다. 소프트웨어가 업데이트 또는 패치가 이루어졌을 때에는 변경 사항에 따른 새로운 정보가 다시 제공되어야 한다.This SPDX information must be provided to the user when the software developer / developer provides the software or after providing it. When the software is updated or patched, new information must be provided back in accordance with the changes.

도 1은 본 발명의 일 실시예에 따른 소프트웨어의 취약점을 관리하기 위한 시스템을 나타내는 도면이다.1 is a diagram illustrating a system for managing software vulnerabilities according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어의 취약점을 관리하기 위한 시스템은 발신 시스템(100), 검출 시스템(200), 관리 시스템(300)을 포함할 수 있다.Referring to FIG. 1, a system for managing vulnerabilities of software according to an embodiment of the present invention may include an originating system 100, a detection system 200, and a management system 300.

발신 시스템(100)은 오픈 소스 소프트웨어의 취약점 정보와 SPDX 정보를 매칭시켜 관리하고, 매칭된 취약점 정보와 SPDX 정보를 검출 시스템(200)에 제공할 수 있다. 이때, 발신 시스템(100)은 새로운 취약점이 발견될 때마다 취약 정보와 SPDX 정보를 매칭시키고, 자동적으로 또는 검출 시스템(200)의 요청에 따라 매칭된 취약점 정보와 SPDX 정보를 검출 시스템(200)에 제공할 수 있다.The originating system 100 may manage the vulnerability information of the open source software by matching the SPDX information and provide the matching vulnerability information and the SPDX information to the detection system 200. At this time, the calling system 100 matches the vulnerable information with the SPDX information whenever a new vulnerability is found, and automatically transmits the matching vulnerability information and the SPDX information to the detection system 200 according to a request of the detection system 200 .

검출 시스템(200)은 발신 시스템(100)으로부터 제공 받은 매칭 정보 즉, 취약점 정보와 SPDX 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출할 수 있다.The detection system 200 can detect the vulnerable software by comparing the matching information provided from the originating system 100, that is, the vulnerability information, the SPDX information, and the previously registered reference SPDX information.

관리 시스템(300)은 검출 시스템(200)으로부터 검출된 취약 소프트웨어의 취약 정도에 따라 해당 취약 소프트웨어의 운영을 제어할 수 있다.The management system 300 can control the operation of the vulnerable software according to the degree of vulnerability of the vulnerable software detected from the detection system 200.

도 2는 도 1에 도시된 발신 시스템의 상세한 구성을 나타내는 도면이다.Fig. 2 is a diagram showing a detailed configuration of the origination system shown in Fig. 1. Fig.

도 2를 참조하면, 본 발명의 일 실시예에 따른 발신 시스템(100)은 취약점 정보 DB(database)(110), SPDX 정보 DB(120), 매칭부(130), 통신부(140)를 포함할 수 있다.2, the calling system 100 according to an exemplary embodiment of the present invention includes a vulnerability information DB 110, an SPDX information DB 120, a matching unit 130, and a communication unit 140 .

취약점 정보 DB(110)는 오픈 소스 소프트웨어의 취약점 정보를 저장할 수 있다. 여기서, 취약점 정보는 취약점, 취약점이 어떤 소프트웨어의 어떤 부분과 연관되어 있는지를 설명하는 정보, 취약점의 종류, 취약점의 중요도 등을 포함할 수 있다.The vulnerability information DB 110 may store vulnerability information of open source software. Here, the vulnerability information may include the vulnerability, information describing which part of the software the vulnerability is associated with, the type of vulnerability, and the importance of the vulnerability.

SPDX 정보 DB(120)는 오픈 소스 소프트웨어의 적어도 하나의 SPDX 엘리먼트를 포함하는 SPDX 정보를 저장할 수 있다. 여기서, SPDX 정보는 SPDX 엘리먼트의 고유 식별 정보로서 EDR 또는 파일 해쉬 값 등을 포함할 수 있다. 이러한 SPDX 정보는 모든 정보를 포함하는 온전한 형태일 필요는 없고, 각 소프트웨어별로 포함하고 있는 적어도 일부 요소의 SPDX 엘리먼트의 고유 식별 정보의 리스트만을 포함할 수 있다.The SPDX information DB 120 may store SPDX information including at least one SPDX element of open source software. Here, the SPDX information may include EDR or a file hash value as unique identification information of the SPDX element. The SPDX information need not be in a complete form including all the information but may include only a list of SPDX element unique identification information of at least some elements included in each software.

매칭부(130)는 새로운 취약점이 발견되는 경우 실시간으로 취약점 정보의 취약점이 영향을 끼치는 소스 파일에 해당하는 SPDX 엘리먼트를 검색하고, SPDX 엘리먼트와 취약점 정보를 매칭시켜 그 매칭 시킨 결과로 취약점 정보가 SPDX 엘리먼트에 연관되어 있음을 나타내는 매칭 정보 즉, {취약점 정보, SPDX 엘리먼트}를 기록할 수 있다. 이때, 매칭부(130)는 취약점 정보가 SPDX 엘리먼트에 연관되어 있음을 나타내는 매칭 정보를 SPDX 정보 DB(120)에 기록할 수 있다.When a new vulnerability is found, the matching unit 130 searches the SPDX element corresponding to the source file affected by the vulnerability of the vulnerability information in real time, matches the SPDX element with the vulnerability information, and matches the vulnerability information with the SPDX element. (Vulnerability information, SPDX element) indicating that the element is associated with the element. At this time, the matching unit 130 may write matching information in the SPDX information DB 120 indicating that the vulnerability information is related to the SPDX element.

통신부(140)는 검출 시스템(200)과 연동하여 각종 정보를 송신 또는 수신할 수 있다. 예컨대, 통신부(140)는 매칭 정보 즉, {취약점 정보, SPDX 엘리먼트}를 검출 시스템(200)에 제공할 수 있다. 이때, 통신부(140)는 유선 통신 또는 무선 통신을 이용하여 각종 정보를 송신 또는 수신할 수 있는 통신 모듈, 다른 외부 기기와 접속되어 각종 정보를 송신 또는 수신하기 위한 접속 모듈을 포괄하는 개념일 수 있다.The communication unit 140 can transmit or receive various kinds of information in cooperation with the detection system 200. For example, the communication unit 140 may provide matching information, i.e., {weak point information, SPDX element} to the detection system 200. The communication unit 140 may be a communication module that can transmit or receive various information by using wired communication or wireless communication, or a connection module that is connected to another external device to transmit or receive various information .

도 3은 도 1에 도시된 검출 시스템의 상세한 구성을 나타내는 도면이다.Fig. 3 is a diagram showing a detailed configuration of the detection system shown in Fig. 1. Fig.

도 3을 참조하면, 본 발명의 일 실시예에 따른 검출 시스템(200)은 기준 SPDX 정보 DB(210), 제1 통신부(220), 검출부(230), 제2 통신부(240)를 포함할 수 있다.3, the detection system 200 according to an exemplary embodiment of the present invention may include a reference SPDX information DB 210, a first communication unit 220, a detection unit 230, and a second communication unit 240 have.

기준 SPDX 정보 DB(210)는 관리 대상 소프트웨어의 적어도 하나의 기준 SPDX 엘리먼트를 포함하는 기준 SPDX 정보를 저장할 수 있다.The reference SPDX information DB 210 may store reference SPDX information including at least one reference SPDX element of the managed software.

제1 통신부(220)는 발신 시스템(100)과 연동하여 각종 정보를 송신 또는 수신할 수 있다. 예컨대, 제1 통신부(220)는 발신 시스템(100)으로부터 매칭 정보 즉, {취약점 정보, SPDX 엘리먼트}를 제공 받을 수 있다. 이때, 통신부(140)는 유선 통신 또는 무선 통신을 이용하여 각종 정보를 송신 또는 수신할 수 있는 통신 모듈, 다른 외부 기기와 접속되어 각종 정보를 송신 또는 수신하기 위한 접속 모듈을 포괄하는 개념일 수 있다.The first communication unit 220 can transmit or receive various information in cooperation with the calling system 100. For example, the first communication unit 220 may receive matching information, i.e., {Vulnerability Information, SPDX Element} from the calling system 100. The communication unit 140 may be a communication module that can transmit or receive various information by using wired communication or wireless communication, or a connection module that is connected to another external device to transmit or receive various information .

검출부(230)는 제공 받은 매칭 정보와 기준 SPDX 정보를 비교하여 그비교한 결과로 매칭 정보 내 SPDX 엘리먼트와 동일한 기준 SPDX 엘리먼트를 포함하는 관리 대상 소프트웨어를 취약 소프트웨어로 검출할 수 있다.The detection unit 230 may compare the provided matching information with the reference SPDX information and detect the managed software including the same reference SPDX element as the SPDX element in the matching information as a result of the comparison by using the vulnerable software.

검출부(230)는 취약 소프트웨어가 검출되는 경우, 해당 소프트웨어의 정보, 취약점의 정보, 중요도 및 관련 정보를 포함하는 취약점 검출 보고서를 생성할 수 있다.When the vulnerable software is detected, the detection unit 230 may generate a vulnerability detection report including information on the software, information on the vulnerability, importance and related information.

제2 통신부(240)는 관리 시스템(300)과 연동하여 각종 정보를 송신 또는 수신할 수 있다. 예컨대, 제2 통신부(240)는 검출된 취약 오픈 소스 소프트웨어에 대한 취약점 검출 보고서를 관리 시스템(300)에 제공할 수 있다. 이때, 제2 통신부(240) 역시 유선 통신 또는 무선 통신을 이용하여 각종 정보를 송신 또는 수신할 수 있는 통신 모듈, 다른 외부 기기와 접속되어 각종 정보를 송신 또는 수신하기 위한 접속 모듈을 포괄하는 개념일 수 있다.The second communication unit 240 can transmit or receive various kinds of information in cooperation with the management system 300. For example, the second communication unit 240 may provide the management system 300 with a vulnerability detection report for the vulnerable open source software detected. The second communication unit 240 may be a communication module capable of transmitting or receiving various information by using wired communication or wireless communication, or a connection module connected to other external devices to transmit or receive various information. .

이때, 임의의 소프트웨어에 오픈 소스 소프트웨어 등을 사용한 경우, SPDX 엘리먼트의 고유 식별 정보를 통하여 어떠한 오픈 소스 소프트웨어가 사용되었는지를 사용자가 파악할 수 있다. 또한, 사용자가 악의를 가지고 있는 경우, 구입·입수한 소프트웨어의 SPDX 엘리먼트의 고유 식별 정보로부터 그 소프트웨어의 구성 요소로서 사용된 오픈 소스 소프트웨어의 종류 및 버전 정보를 파악할 수 있다. 또한, 이렇게 파악한 정보를 바탕으로, 동종의 소프트웨어를 사용 및 운용하고 있는 개인 또는 기관에게 공개된 취약점 정보를 바탕으로 공격을 할 수 있는 가능성이 존재한다.At this time, when open source software or the like is used in any software, the user can know which open source software is used through the unique identification information of the SPDX element. Further, when the user has maliciousness, the type and version information of the open source software used as a component of the software can be grasped from the unique identification information of the SPDX element of the purchased and acquired software. In addition, based on the information thus obtained, there is a possibility that an attack can be made based on vulnerability information disclosed to an individual or an organization using and operating the same kind of software.

따라서, 본 발명에서는 이러한 공격을 방지하기 위해서 소프트웨어 개발자 또는 기관이 이 정보를 프록시(proxy)하는 시스템을 적용할 수도 있다.Accordingly, in the present invention, a system in which a software developer or an organization proxy a piece of information to prevent such an attack may be applied.

구체적으로, 1)소프트웨어의 SPDX 정보의 고유 식별 정보에 대하여 프록시 고유 식별 정보를 생성하고, 발신 시스템에서 제공된 취약점 정보 안에 있는 SPDX 고유 식별 정보를 해석하여 기존에 생성한 프록시 고유 식별 정보를 매칭하며, 프록시 고유 식별 정보를 매칭하여 작성한 새로운 취약점 경고 정보를 해당 소프트웨어의 사용자에게 재발신할 수 있다.Specifically, 1) generating proxy unique identification information for the unique identification information of the SPDX information of the software, interpreting the SPDX unique identification information included in the vulnerability information provided by the originating system, matching the unique proxy identification information, The new vulnerability alert information created by matching proxy unique identification information can be redirected to the user of the corresponding software.

추가적으로 존재하지 않는, 또는 새로 갱신될 예정이기에 불필요해진 EDR 정보도 취약점에 포함시켜 송신함으로써 원본 SPDX 고유 식별 정보를 추정하기 어렵게 할 수 있다.It is possible to make it difficult to estimate the original SPDX unique identification information by transmitting the EDR information that is not additionally present or unnecessary because it is expected to be newly updated to be included in the vulnerability.

도 4는 도 1에 도시된 관리 시스템의 상세한 구성을 나타내는 도면이다.FIG. 4 is a diagram showing a detailed configuration of the management system shown in FIG. 1. FIG.

도 4를 참조하면, 본 발명의 일 실시예에 따른 관리 시스템(300)은 제어 계획 정보 DB(310), 통신부(320), 제어부(330)를 포함할 수 있다.Referring to FIG. 4, the management system 300 according to an embodiment of the present invention may include a control plan information DB 310, a communication unit 320, and a control unit 330.

제어 계획 정보 DB(310)는 관리 대상 소프트웨어 또는 시스템에 대한 제어 권한 및 제어 계획을 포함하는 제어 정보를 저장할 수 있다. 여기서, 제어 계획은 검출된 취약점의 정보, 종류, 중요도에 따라 관리 대상 소프트웨어 또는 시스템을 어떻게 제어할 것인지에 대한 계획을 정의하는 정보일 수 있다.The control plan information DB 310 may store control information including control authority and control plan for the software or system to be managed. Here, the control plan may be information that defines a plan of how to control the managed software or system according to the information, type, and importance of the detected vulnerability.

통신부(320)는 검출 시스템(200)과 연동하여 각종 정보를 송신 또는 수신할 수 있다. 예컨대, 통신부(320)는 검출 시스템(200)으로부터 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 제공 받을 수 있다.The communication unit 320 can transmit or receive various kinds of information in cooperation with the detection system 200. For example, the communication unit 320 may be provided with a vulnerability detection report for the vulnerable software detected by the detection system 200.

제어부(330)는 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하여 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어할 수 있다. 이때, 제어부(330)는 검색된 제어 정보에 따라 제어를 실행하기 전 관리자에게 해당 취약점에 관한 정보 및 제어 대상이 된 소프트웨어, 행할 제어의 내용을 통지하여 허락을 받거나, 제어 정보에 따라 제어를 임의로 실행한 후 관리자에게 해당 취약점에 관한 정보 및 제어 대상이 된 소프트웨어, 행하여진 제어의 내용을 통지할 수 있다.The control unit 330 searches the control information using the vulnerability information in the vulnerability detection report and controls the operation of the vulnerable software or system according to the retrieved control information. At this time, the control unit 330 notifies the manager of the information about the vulnerability, the software to be controlled, the content of the control to be performed and receives the permission to the manager before executing the control according to the searched control information, The administrator can be notified of the information about the vulnerability, the software to be controlled, and the contents of the control performed.

또한 관리자는 통지된 정보를 기반으로 제어 내용을 승인 또는 변경할 수 있다.The administrator can also approve or change the control based on the informed information.

도 5는 본 발명의 일 실시예에 따른 소프트웨어의 취약점을 관리하기 위한 방법을 나타내는 도면이다.5 is a diagram illustrating a method for managing vulnerabilities of software according to an embodiment of the present invention.

도 5를 참조하면, 발신 시스템(100)은 새로운 취약점이 발견되는 경우 취약 정보와 SPDX 정보를 매칭시켜(S510) 그 매칭시킨 결과로 매칭 정보를 생성할 수 있다(S520).Referring to FIG. 5, when the new vulnerability is found, the originating system 100 may match the vulnerable information with the SPDX information (S510) and generate matching information as a result of the matching (S520).

다음으로, 발신 시스템(100)은 생성된 매칭 정보를 검출 시스템(200)에 제공할 수 있다(S530).Next, the originating system 100 may provide the generated matching information to the detection system 200 (S530).

다음으로, 검출 시스템(200)은 발신 시스템(100)으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여(S540) 그 비교한 결과로 취약 오픈 소스 소프트웨어 및 취약 오픈 소스 소프트웨어를 포함하는 취약 소프트웨어를 검출할 수 있다(S550).Next, the detection system 200 compares the matching information provided from the originating system 100 with previously registered reference SPDX information (S540), and as a result of the comparison, the vulnerable open source software and the vulnerable open source software The vulnerable software can be detected (S550).

다음으로, 검출 시스템(200)은 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 생성하여(S560) 관리 시스템(300)에 제공할 수 있다(S570).Next, the detection system 200 may generate a vulnerability detection report for the detected vulnerable software (S560) and provide the vulnerability detection report to the management system 300 (S570).

다음으로, 관리 시스템(300)은 검출 시스템(200)으로부터 제공 받은취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하여(S580) 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어할 수 있다(S590).Next, the management system 300 searches the control information using the vulnerability information in the vulnerability detection report provided from the detection system 200 (S580), and controls the operation of the corresponding vulnerable software or system according to the detected control information (S590).

이상에서 실시예들에 설명된 특징, 구조, 효과 등은 본 발명의 하나의 실시예에 포함되며, 반드시 하나의 실시예에만 한정되는 것은 아니다. 나아가, 각 실시예에서 예시된 특징, 구조, 효과 등은 실시예들이 속하는 분야의 통상의 지식을 가지는 자에 의해 다른 실시예들에 대해서도 조합 또는 변형되어 실시 가능하다. 따라서 이러한 조합과 변형에 관계된 내용들은 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.The features, structures, effects and the like described in the embodiments are included in one embodiment of the present invention and are not necessarily limited to only one embodiment. Furthermore, the features, structures, effects and the like illustrated in the embodiments can be combined and modified by other persons skilled in the art to which the embodiments belong. Therefore, it should be understood that the present invention is not limited to these combinations and modifications.

또한, 이상에서 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be taken by way of illustration, It can be seen that various modifications and applications are possible. For example, each component specifically shown in the embodiments can be modified and implemented. It is to be understood that all changes and modifications that come within the meaning and range of equivalency of the claims are therefore intended to be embraced therein.

100: 발신 시스템
200: 검출 시스템
300: 관리 시스템100: Outgoing system
200: Detection system
300: Management System

Claims (11)

오픈 소스 소프트웨어의 취약점 정보와 SPDX(Software Package Data Exchange) 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 관리하는 발신 시스템;
상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하는 검출 시스템; 및
상기 검출 시스템으로부터 검출된 상기 취약 소프트웨어의 취약 정도에 따라 해당 취약 소프트웨어의 운영을 제어하는 관리 시스템;
을 포함하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.An originating system that manages matching information as a result of matching vulnerability information of open source software with software package data exchange (SPDX) information and matching the information;
A detection system for detecting vulnerable software by comparing the matching information provided from the originating system with previously registered reference SPDX information; And
A management system for controlling the operation of the vulnerable software according to the degree of vulnerability of the vulnerable software detected by the detection system;
A system for managing software vulnerabilities using SPDX technology. 제1 항에 있어서,
상기 발신 시스템은,
새로운 취약점이 발견되는 경우 취약 정보와 SPDX 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 생성하고, 상기 생성된 매칭 정보를 상기 검출 시스템에 제공하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.The method according to claim 1,
The originating system comprises:
When a new vulnerability is found, matches vulnerable information with SPDX information, generates matching information as a result of matching the vulnerability information and provides the generated matching information to the detection system, and uses the SPDX technology to manage the vulnerability of the software system. 제2 항에 있어서,
상기 발신 시스템은,
상기 오픈 소스 소프트웨어의 취약점 정보를 저장하는 취약점 정보 DB;
상기 오픈 소스 소프트웨어의 적어도 하나의 SPDX 엘리먼트를 포함하는 SPDX 정보를 저장하는 SPDX 정보 DB;
새로운 취약점이 발견되는 경우 실시간으로 취약점 정보의 취약점이 영향을 끼치는 소스 파일에 해당하는 SPDX 엘리먼트를 검색하고, SPDX 엘리먼트와 취약점 정보를 매칭시켜 그 매칭 시킨 결과로 매칭 정보를 생성하는 매칭부; 및
상기 생성된 매칭 정보를 상기 검출 시스템에 제공하는 통신부;를 포함하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.3. The method of claim 2,
The originating system comprises:
A vulnerability information DB for storing vulnerability information of the open source software;
An SPDX information DB for storing SPDX information including at least one SPDX element of the open source software;
A matching unit for searching the SPDX element corresponding to a source file affected by the vulnerability of the vulnerability information in real time when a new vulnerability is found and for generating matching information as a result of matching the SPDX element with the vulnerability information; And
And a communication unit for providing the generated matching information to the detection system. The system for managing vulnerabilities of software using SPDX technology. 제1 항에 있어서,
상기 검출 시스템은,
상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 그 비교한 결과로 취약 오픈 소스 소프트웨어 및 상기 취약 오픈 소스 소프트웨어를 포함하는 취약 소프트웨어를 검출하고,
상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 생성하여 상기 관리 시스템에 제공하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.The method according to claim 1,
The detection system comprising:
Comparing the matching information provided from the originating system with previously registered reference SPDX information, and detecting vulnerable software including vulnerable open source software and vulnerable open source software as a result of the comparison,
Generating a vulnerability detection report for the detected vulnerable software, and providing the vulnerability detection report to the management system; and managing the vulnerability of the software using the SPDX technology. 제4 항에 있어서,
상기 검출 시스템은,
관리 대상 소프트웨어의 적어도 하나의 기준 SPDX 엘리먼트를 포함하는 기준 SPDX 정보를 저장하는 기준 SPDX 정보 DB;
상기 발신 시스템으로부터 매칭 정보를 제공 받는 제1 통신부;
상기 제공 받은 매칭 정보와 기준 SPDX 정보를 비교하여 그 비교한 결과로 매칭 정보 내 SPDX 엘리먼트와 동일한 기준 SPDX 엘리먼트를 포함하는 관리 대상 소프트웨어를 취약 소프트웨어로 검출하는 검출부; 및
상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 상기 관리 시스템에 제공하는 제2 통신부;를 포함하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.5. The method of claim 4,
The detection system comprising:
A reference SPDX information DB storing reference SPDX information including at least one reference SPDX element of the managed software;
A first communication unit receiving matching information from the calling system;
A detecting unit for comparing the provided matching information with the reference SPDX information and detecting the managed software including the same reference SPDX element as the SPDX element in the matching information as the comparison result by the vulnerable software; And
And a second communication unit for providing a vulnerability detection report for the detected vulnerable software to the management system. The system for managing vulnerabilities of software using the SPDX technology. 제1 항에 있어서,
상기 관리 시스템은,
상기 검출 시스템으로부터 제공 받은 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하고
상기 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.The method according to claim 1,
The management system includes:
The control information is retrieved using the vulnerability information in the vulnerability detection report provided from the detection system
And controlling the operation of the corresponding vulnerable software or system according to the retrieved control information, using the SPDX technology. 제6 항에 있어서,
상기 관리 시스템은,
관리 대상 소프트웨어 또는 시스템에 대한 제어 권한 및 제어 계획을 포함하는 제어 정보를 저장하는 제어 계획 정보 DB;
상기 검출 시스템으로부터 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 제공 받는 통신부; 및
상기 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하여 그 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어하는 제어부;를 포함하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 시스템.The method according to claim 6,
The management system includes:
A control plan information DB for storing control information including control authority and control plan for the software or system to be managed;
A communication unit for receiving a vulnerability detection report on the vulnerable software detected by the detection system; And
And a control unit for searching the control information using the vulnerability information in the vulnerability detection report and controlling the operation of the corresponding vulnerable software or system according to the retrieved control information. A system for managing a vulnerability of a software using SPDX technology . 발신 시스템에서, 오픈 소스 소프트웨어의 취약점 정보와 SPDX(Software Package Data Exchange) 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 관리하는 단계;
검출 시스템에서, 상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 취약 소프트웨어를 검출하는 단계; 및
관리 시스템에서, 상기 검출 시스템으로부터 검출된 상기 취약 소프트웨어의 취약 정도에 따라 해당 취약 소프트웨어의 운영을 제어하는 단계;
를 포함하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 방법.Managing vulnerability information of the open source software and software package data exchange (SPDX) information in the originating system and managing matching information as a result of the matching;
Detecting, in the detection system, the vulnerable software by comparing the matching information provided from the originating system with previously registered reference SPDX information; And
Controlling the operation of the vulnerable software in accordance with the degree of vulnerability of the vulnerable software detected by the detection system in the management system;
, The method comprising: using the SPDX technology to manage vulnerabilities of the software. 제8 항에 있어서,
상기 관리하는 단계에서는,
새로운 취약점이 발견되는 경우 취약 정보와 SPDX 정보를 매칭시켜 그 매칭시킨 결과로 매칭 정보를 생성하고, 상기 생성된 매칭 정보를 상기 검출 시스템에 제공하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 방법.9. The method of claim 8,
In the managing step,
When a new vulnerability is found, matches vulnerable information with SPDX information, generates matching information as a result of matching the vulnerability information and provides the generated matching information to the detection system, and uses the SPDX technology to manage the vulnerability of the software Way. 제8 항에 있어서,
상기 검출하는 단계에서는,
상기 발신 시스템으로부터 제공 받은 상기 매칭 정보와 미리 등록된 기준 SPDX 정보를 비교하여 그 비교한 결과로 취약 오픈 소스 소프트웨어 및 상기 취약 오픈 소스 소프트웨어를 포함하는 취약 소프트웨어를 검출하고,
상기 검출된 취약 소프트웨어에 대한 취약점 검출 보고서를 생성하여 상기 관리 시스템에 제공하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 방법.9. The method of claim 8,
In the detecting step,
Comparing the matching information provided from the originating system with previously registered reference SPDX information, and detecting vulnerable software including vulnerable open source software and vulnerable open source software as a result of the comparison,
Generating a vulnerability detection report for the detected vulnerable software and providing the vulnerability detection report to the management system; and managing the vulnerability of the software using the SPDX technology. 제8 항에 있어서,
상기 제어하는 단계에서는,
상기 검출 시스템으로부터 제공 받은 취약점 검출 보고서 내 취약점 정보를 이용하여 제어 정보를 검색하고
상기 검색된 제어 정보에 따라 해당 취약 소프트웨어 또는 시스템의 운영을 제어하는, SPDX 기술을 이용하여 소프트웨어의 취약점을 관리하기 위한 방법.9. The method of claim 8,
In the controlling step,
The control information is retrieved using the vulnerability information in the vulnerability detection report provided from the detection system
And controlling the operation of the corresponding vulnerable software or system according to the retrieved control information, using the SPDX technology.
KR1020170136020A 2017-08-08 2017-10-19 SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF KR101876685B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170100313 2017-08-08
KR1020170100313 2017-08-08

Publications (1)

Publication Number Publication Date
KR101876685B1 true KR101876685B1 (en) 2018-07-10

Family

ID=62915982

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170136020A KR101876685B1 (en) 2017-08-08 2017-10-19 SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF

Country Status (1)

Country Link
KR (1) KR101876685B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023224192A1 (en) * 2022-05-16 2023-11-23 엘에스웨어(주) Software management system and method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007233432A (en) * 2006-02-27 2007-09-13 Hitachi Software Eng Co Ltd Inspection method and apparatus for fragileness of application
JP2012208863A (en) * 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program
JP2016167262A (en) * 2015-03-05 2016-09-15 富士通株式会社 Autonomous inference system for vulnerability analysis
KR101751388B1 (en) * 2016-07-05 2017-06-27 (주)엔키소프트 Big data analytics based Web Crawling System and The Method for searching and collecting open source vulnerability analysis target

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007233432A (en) * 2006-02-27 2007-09-13 Hitachi Software Eng Co Ltd Inspection method and apparatus for fragileness of application
JP2012208863A (en) * 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program
JP2016167262A (en) * 2015-03-05 2016-09-15 富士通株式会社 Autonomous inference system for vulnerability analysis
KR101751388B1 (en) * 2016-07-05 2017-06-27 (주)엔키소프트 Big data analytics based Web Crawling System and The Method for searching and collecting open source vulnerability analysis target

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023224192A1 (en) * 2022-05-16 2023-11-23 엘에스웨어(주) Software management system and method

Similar Documents

Publication Publication Date Title
US11722521B2 (en) Application firewall
US10924517B2 (en) Processing network traffic based on assessed security weaknesses
US20220156399A1 (en) Chain of custody for enterprise documents
US10691824B2 (en) Behavioral-based control of access to encrypted content by a process
US10657277B2 (en) Behavioral-based control of access to encrypted content by a process
US10868821B2 (en) Electronic mail security using a heartbeat
US10972483B2 (en) Electronic mail security using root cause analysis
US20180041537A1 (en) Identifying and remediating phishing security weaknesses
KR101291782B1 (en) Webshell detection and corresponding system
US8286255B2 (en) Computer file control through file tagging
US11349878B2 (en) Method for handling security settings in a mobile end device
US11716351B2 (en) Intrusion detection with honeypot keys
US20160012213A1 (en) Methods and systems for verifying the security level of web content that is embedded within a mobile application and the identity of web application owners field of the disclosure
CN109922062B (en) Source code leakage monitoring method and related equipment
US20210286895A1 (en) Quarantined code scanning
KR101876685B1 (en) SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF
WO2019122832A1 (en) Electronic mail security using a user-based inquiry
Jeong et al. SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform
US12039064B2 (en) Information processing device, information processing method, information processing program, and information processing system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant