KR102505127B1 - 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법 - Google Patents

소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법 Download PDF

Info

Publication number
KR102505127B1
KR102505127B1 KR1020180061641A KR20180061641A KR102505127B1 KR 102505127 B1 KR102505127 B1 KR 102505127B1 KR 1020180061641 A KR1020180061641 A KR 1020180061641A KR 20180061641 A KR20180061641 A KR 20180061641A KR 102505127 B1 KR102505127 B1 KR 102505127B1
Authority
KR
South Korea
Prior art keywords
source code
electronic device
file
comparison
strings
Prior art date
Application number
KR1020180061641A
Other languages
English (en)
Other versions
KR20190136232A (ko
Inventor
심우철
김선우
황용호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020180061641A priority Critical patent/KR102505127B1/ko
Priority to PCT/KR2019/005361 priority patent/WO2019231122A1/ko
Priority to US17/059,768 priority patent/US11861014B2/en
Priority to CN201980035377.1A priority patent/CN112166419A/zh
Priority to EP19810278.2A priority patent/EP3779702B1/en
Publication of KR20190136232A publication Critical patent/KR20190136232A/ko
Application granted granted Critical
Publication of KR102505127B1 publication Critical patent/KR102505127B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3696Methods or tools to render software testable
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

다양한 실시예에 따라서, 전자 장치는, 표시 장치, 적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 패치 파일에 포함된 적어도 하나의 문자열 각각이 분류된 수정 사항 및 취약 사항 중 어느 하나를 포함하는 비교용 파일을 저장하는 메모리, 및 상기 메모리 및 상기 표시 장치에 기능적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 상기 메모리에 저장된 상기 적어도 하나의 소스 코드를 로딩하고, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하고, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치를 통하여 제공하도록 설정될 수 있다.

Description

소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법{ELECTRONIC DEVICE FOR DETECTING VULNERABILITY OF SOFTWARE AND OPERATION METHOD THEREOF}
다양한 실시예는, 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법에 관한 것이다.
근자에 들어서, 다양한 종류의 오픈 소스(또는, 공개 소스)가 개발자들에 의하여 제작되어 공개되고 있으며, 어플리케이션(또는, 프로그램) 제작자들은 공개된 오픈 소스를 이용하여 어플리케이션을 제작하고 있다. 오픈 소스에는 취약점(vulnerability)이 포함될 수 있다. 국제 표준화 기구(international organization for standardization: ISO) 27005에서는 취약점을 하나 이상의 위협(threat)에 의하여 익스플로잇(exploit) 될 수 있는 자산(asset) 또는 자산의 그룹의 약점(weakness)으로 정의한다. 아울러, IETF RFC2828에서는, 시스템의 보안 정책(security policy)를 파괴(violate)하도록 익스플로잇될 수 있는 관리(management) 및 동작(operation), 또는 구현(implementation), 디자인(design)의 약점으로 정의한다.
취약점은, 충분하지 않은 테스팅 또는 부족한 감사 추적에 의하여 발생될 수 있다. 취약점은, 예를 들어 설계 결함, 소프트웨어 버그, 잘못된 소스 코드의 작성 등의 다양한 이유에 의하여 발생될 수 있다. 근자에 들어서, 다양한 소스들에 대한 취약점이 분석 및 공개되고 있다. 예를 들어, CVE(common vulnerability exposure, 또는 common vulnerability enumeration)에서는 취약점에 대한 정보 및 수정 정보를 제공하고 있다. 아울러, 해당 오픈 소스 제공자 또는 다른 제공자는 취약점에 대응하는 패치 파일을 제공하고 있다.
상술한 바와 같이, 취약점에 대한 정보 및 수정 정보가 제공됨에 따라서, 어플리케이션 제작자들은 제공되는 정보를 이용하여 자신이 개발하는 어플리케이션 내에 포함된 오픈 소스에 취약점이 있는지 확인할 수 있다. 아울러, 어플리케이션 제작자들은 패치 파일을 이용하여 취약점을 가지는 소스를 수정할 수 있다. 하지만, 대규모의 소스 코드가 포함된 어플리케이션을 제작하는 경우에는, 다수의 오픈 소스들이 어플리케이션에 포함될 수 있다. 이에 따라, 어플리케이션 제작자들이 수동으로 각각의 오픈 소스에 취약점이 포함되어 있는지, 또는 해당 소스가 패치된 버전인지 여부를 확인하기는 한계가 있다. 아울러, 어플리케이션에 포함된 오픈 소스가 패치된 버전인지 여부를 자동으로 확인하는 기술에 대하여서도 개시된 바가 없다.
다양한 실시예는 상술한 문제점 또는 다른 문제점을 해결하기 위한 것으로, 수집된 패치 파일로부터 획득한 취약 사항 또는 수정 사항에 대한 비교용 파일을, 어플리케이션의 소스 코드와 비교함으로써, 어플리케이션에 포함된 소프트웨어의 취약점 포함 여부, 패치 여부, 취약점에 대한 정보를 제공할 수 있는 전자 장치 및 그 동작 방법을 제공할 수 있다.
다양한 실시예에 따라서, 전자 장치는, 표시 장치, 적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 패치 파일에 포함된 적어도 하나의 문자열 각각이 분류된 수정 사항 및 취약 사항 중 어느 하나를 포함하는 비교용 파일을 저장하는 메모리, 및 상기 메모리 및 상기 표시 장치에 기능적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 상기 메모리에 저장된 상기 적어도 하나의 소스 코드를 로딩하고, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하고, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치를 통하여 제공하도록 설정될 수 있다.
다양한 실시예에 따라서, 전자 장치의 동작 방법은, 적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 패치 파일에 포함된 적어도 하나의 문자열 각각이 분류된 수정 사항 및 취약 사항 중 어느 하나를 포함하는 비교용 파일을 저장하는 동작, 상기 메모리에 저장된 상기 적어도 하나의 소스 코드를 로딩하는 동작, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작, 및 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 제공하는 동작을 포함할 수 있다.
다양한 실시예에 따라서 전자 장치는, 통신 회로, 적어도 하나의 소스 코드를 저장하는 메모리, 및 상기 메모리 및 상기 통신 회로에 기능적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 소스 코드의 적어도 일부에 대응하는 패치 파일을, 상기 통신 회로를 통하여 수신하고, 상기 패치 파일이 적용되는 소스 코드를 식별하기 위한 파일 식별 정보를 확인하고, 상기 패치 파일에 포함된 적어도 하나의 문자열 각각을, 수정 사항 또는 취약 사항 중 어느 하나로 분류하고, 상기 파일 식별 정보와, 상기 수정 사항, 및 상기 취약 사항 중 적어도 하나를 포함하는, 상기 소스 코드와의 비교를 위한 비교용 파일을 생성하여, 상기 메모리에 저장하도록 설정될 수 있다.
다양한 실시예에 따라서, 수집된 패치 파일로부터 획득한 취약 사항 또는 수정 사항에 대한 비교용 파일을, 어플리케이션의 소스 코드와 비교함으로써, 어플리케이션에 포함된 소프트웨어의 취약점 포함 여부, 패치 여부, 취약점에 대한 정보를 제공할 수 있는 전자 장치 및 그 동작 방법이 제공될 수 있다.
다양한 실시예에 따른 전자 장치가 어플리케이션 내의 오픈 소스의 취약점 포함 여부 등이 제공됨에 따라서, 어플리케이션 제작자는 어플리케이션 내의 오픈 소스 각각의 패치 여부를 수동으로 확인할 필요가 없다.
도 1은 다양한 실시예에 따른 전자 장치 및 서버를 포함하는 시스템을 도시한다.
도 2는 다양한 실시예에 따른 전자 장치의 블록도를 도시한다.
도 3은 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다.
도 4는 다양한 실시예에 따른 비교용 파일을 생성하는 과정을 설명하는 도면이다.
도 5는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다.
도 6은 다양한 실시예에 따른 취약 사항 및 수정 사항의 조정을 설명하기 위한 도면을 도시한다.
도 7a 내지 7d는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도들을 도시한다.
도 8은 다양한 실시예에 따른 비교용 파일 및 소스 코드의 비교 과정을 설명하기 위한 도면을 도시한다.
도 9는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다.
도 10a 내지 10d는 다양한 실시예에 따른 패치 파일, 비교용 파일, 및 검사 대상 파일을 도시한다.
도 11a 및 11b는 다양한 실시예에 따른 전자 장치가 제공하는 화면의 예시를 설명하기 위한 도면들이다.
본 문서에 개시된 다양한 실시예들에 따른 전자 장치는 다양한 형태의 장치가 될 수 있다. 본 문서의 다양한 실시예들 및 이에 사용된 용어들은 본 문서에 기재된 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 해당 실시예의 다양한 변경, 균등물, 및/또는 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및/또는 B 중 적어도 하나", "A, B 또는 C" 또는 "A, B 및/또는 C 중 적어도 하나" 등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", "첫째" 또는 "둘째" 등의 표현들은 해당 구성요소들을, 순서 또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에 "(기능적으로 또는 통신적으로) 연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제 3 구성요소)를 통하여 연결될 수 있다.
본 문서에서 사용된 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구성된 유닛을 포함하며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로 등의 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 모듈은 ASIC(application-specific integrated circuit)으로 구성될 수 있다.
도 1은 다양한 실시예에 따른 전자 장치 및 서버를 포함하는 시스템을 도시한다.
도 1에 도시된 바와 같이, 전자 장치(101)는 서버(108)(예: 레퍼지토리(repository))와 통신을 수행할 수 있으며, 외부 전자 장치(102)는 서버(108)와 통신을 수행할 수 있다. 전자 장치(101)는, 예를 들어 어플리케이션 제작자가 이용하는 전자 장치로서, 전자 장치(101)는, 어플리케이션 제작을 위한 적어도 하나의 소스 코드(예: 오픈 소스)를 공개하는 서버(108)로부터 수신할 수 있다. 서버(108)는, 오픈 소스 등의 다양한 소스를 수신하여 관리 및 공개하는 소스 코드 저장소로서, 예를 들어 sourchforge, rubyforge, tigris, bountysource 등의 다양한 소스 코드 저장소일 수 있으며 그 종류에는 제한이 없다. 전자 장치(101)는, 입력 장치를 통하여, 사용자의 조작에 따라서 웹 브라우징(web browsing) 어플리케이션을 실행할 수 있으며, 오픈 소스 공개 서버로 접속하기 위한 URI를 직접 입력받거나, 또는 URI에 대응하는 오브젝트에 대한 선택을 수신할 수 있다. 전자 장치(101)는, URI에 대응하는 웹 페이지(예를 들어, 오픈 소스 다운로드를 위한 웹 페이지)에 접속할 수 있으며, 오픈 소스를 다운로드할 수 있다. 전자 장치(101)는, 서버(108)로부터 오픈 소스를 다운로드할 수 있는 전자 장치라면 제한이 없으며, PC(personal computer), 태블릿(tablet) PC, 스마트폰, 등의 다양한 타입으로 구현될 수 있다.
전자 장치(101)는, 서버(108)로부터 오픈 소스에 대응하는 적어도 하나의 패치 파일을 다운로드할 수 있다. 전자 장치(101)는, 오픈 소스의 취약점에 대한 정보를 제공하는 서버(104)로부터 취약점에 대한 정보를 확인할 수 있다. 예를 들어, CVE 시스템에 대응하는 서버(104)는 정보-보안 취약점 및 노출에 대한 참조(reference)(예: 일련 번호) 및 관련 내용을 제공할 수 있다. 예를 들어, 취약점에 대한 식별 정보(예: 일련 번호)는, "CVE-연도-일련번호" 형식으로 구성되며 "CVE-2015-8000" 는 2015년에 8000번째 보고된 취약점을 의미할 수 있다. CVE에 대응하는 서버(104)는, CVE 명세를 제공하며, 예를 들어 외부로부터 지정된 일련번호에 대응하는 CVE 명세를 제공할 수 있다. CVE 명세에는, 취약점에 대한 내용이 포함될 수 있다. 한편, CVE는 단순히 예시적인 것이며, 취약점을 확인할 수 있는 구현 방식이라면 제한이 없음을 당업자는 용이하게 이해할 수 있을 것이다. 오픈 소스 제작자, 또는 제 3 자는 오픈 소스에 대한 취약점을 발견할 수 있으며, 취약점에 대한 정보를 전자 장치를 통하여 CVE 시스템에 대응하는 서버(104)로 송신할 수 있다. 취약점에 대한 정보를 제공하는 서버(104)는, 수신한 취약점에 대한 정보를 제공할 수 있다. 오픈 소스의 제작자 또는 제 3 자는 취약점에 대한 정보를 확인할 수 있으며, 해당 취약점을 해결하기 위한 패치 파일을 제작할 수 있다. 예를 들어, 오픈 소스의 제작자 또는 제 3 자는 외부 전자 장치(102)를 이용하여 패치 파일을 제작할 수 있으며, 외부 전자 장치(102)는 패치 파일을 서버(108)로 송신할 수 있다.
전자 장치(101)는, 확인된 취약점에 대응하는 패치 파일을 서버(108)로부터 수신할 수 있다. 전자 장치(101)는, CVE 시스템에 대응하는 서버(104)로부터 오픈 소스의 취약점에 대한 정보를 확인할 수 있다. 전자 장치(101)는, 확인된 오픈 소스의 취약점에 대한 정보에 기반하여, 오픈 소스를 제공하는 서버(108), 또는 또 다른 전자 장치에 접속하여 오픈 소스의 취약점을 해결하기 위한 패치 파일을 수신할 수 있다. 전자 장치(101)는, CVE에 대응하는 서버(104)로부터 주기적, 또는 비주기적으로 다양한 오픈 소스의 취약점에 대한 정보를 수신할 수 있다. 전자 장치(101)는, CVE에 대응하는 서버(104)로부터 수신한 정보에 기반하여 자동으로 서버(108)에 접속하여 관련 패치 파일을 다운로드하거나, 또는 사용자의 조작에 의하여 서버(108)에 접속하여 관련 패치 파일을 다운로드할 수도 있다. 전자 장치(101)는, 서버(108)뿐만 아니라 다른 소스에 대응하는 서버(미도시)에 접속하여 패치 파일을 다운로드할 수 있다. 즉, 전자 장치(101)는, 다양한 오픈 소스에 대응하는 다양한 패치 파일을 수집할 수 있다. 전자 장치(101)는, 확인된 취약점에 대한 정보에 기반하여, 다양한 웹 크롤링(web crawling)(또는, 스파이더링(spidering)) 방식을 통하여 패치 파일을 수집할 수 있다. 패치 파일을 크롤링할 수 있는 크롤러에는 제한이 없다. 다양한 실시예에서, 전자 장치(101)는 크롤링에 우선 순위를 부여하여 상대적으로 보안이 취약한 패치 파일을 우선 수집할 수도 있다. 한편, 전자 장치(101)는, CVE로부터 제공받은 정보를 이용하지 않고 패치 파일을 수집할 수도 있다 . 전자 장치(101)는, CVE로부터 제공받은 정보 이외의 다양한 정보를 시드(seed)로하여 웹 크롤링을 수행함으로써, 패치 파일을 수집할 수도 있다.
다양한 실시예에서, 전자 장치(101)는 수집된 패치 파일 중 지정된 조건을 만족하는 패치 파일을 필터링할 수도 있다. 예를 들어, 패치 파일 중 특정 확장자(또는, 식별 정보)(예: “.md”, “.bb”, nix)를 가지는 패치 파일은 필터링함으로써, 전자 장치(101)는, 보다 유효한 패치 파일을 저장할 수도 있다. 즉, 전자 장치(101)는, 필터링 수행 결과로 획득한 패치 파일에 대하여서만, 비교용 파일을 생성하도록 설정될 수도 있다.
한편, 도 1의 실시예에서는 서버(108)가 오픈 소스 및 패치 파일을 모두 저장하고 있는 것과 같이 도시되어 있지만, 이는 단순히 예시적인 것이며, 오픈 소스 및 패치 파일의 저장 위치(또는, 저장되는 저장소)는 상이할 수도 있다.
전자 장치(101)는, 수집한 패치 파일을 이용하여 비교용 파일을 생성할 수 있다. 전자 장치(101)는, 생성한 비교용 파일과 어플리케이션에 포함된 소스 코드를 비교할 수 있다. 전자 장치(101)는, 비교 결과에 기반하여 소스 코드가 패치된 버전인지 여부, 소스 코드가 패치가 요구되는지 여부, 소스 코드가 패치되었을 확률, 소스 코드 내에 수정이 요구되는 문자열(character string)의 존재 여부, 소스 코드 내에 수정이 요구되는 문자열(character string)의 위치에 대한 정보 등의 다양한 정보 를 제공할 수 있다. 전자 장치(101)가 비교용 파일을 생성하는 과정과, 비교 절차에 대하여서는 더욱 상세하게 후술하도록 한다. 전자 장치(101)는, 비교 결과에 따라서 패치 파일의 적용이 요구된 것으로 확인되면, 자동으로 소스 코드 내의 적어도 하나의 문자열을 수정할 수도 있다.
도 2는 다양한 실시예에 따른 전자 장치의 블록도를 도시한다.
다양한 실시예에 따른 전자 장치(101)는, 프로세서(120), 메모리(130), 입력 장치(150), 출력 장치(160), 및 통신 회로(190)를 포함할 수 있다.
프로세서(120)는, 예를 들면, 소프트웨어(예: 프로그램)를 실행하여 프로세서(120)에 연결된 전자 장치(101)의 적어도 하나의 다른 구성요소(예: 하드웨어 또는 소프트웨어 구성요소)을 제어할 수 있고, 다양한 데이터 처리 또는 연산을 수행할 수 있다. 일실시예에 따르면, 데이터 처리 또는 연산의 적어도 일부로서, 프로세서(120)는 다른 구성요소(예: 메모리(130), 입력 장치(150), 또는 통신 회로(190))로부터 수신된 명령 또는 데이터를 휘발성 메모리에 로드하고, 휘발성 메모리에 저장된 명령 또는 데이터를 처리하고, 결과 데이터를 비휘발성 메모리에 저장할 수 있다. 일실시예에 따르면, 프로세서(120)는 메인 프로세서(예: 중앙 처리 장치 또는 어플리케이션 프로세서), 및 이와는 독립적으로 또는 함께 운영 가능한 보조 프로세서(예: 그래픽 처리 장치, 이미지 시그널 프로세서, 센서 허브 프로세서, 또는 커뮤니케이션 프로세서)를 포함할 수 있다. 추가적으로 또는 대체적으로, 보조 프로세서는 메인 프로세서보다 저전력을 사용하거나, 또는 지정된 기능에 특화되도록 설정될 수 있다. 보조 프로세서는 메인 프로세서와 별개로, 또는 그 일부로서 구현될 수 있다.
메모리(130)는, 전자 장치(101)의 적어도 하나의 구성요소(예: 프로세서(120))에 의해 사용되는 다양한 데이터를 저장할 수 있다. 데이터는, 예를 들어, 소프트웨어(예: 프로그램) 및, 이와 관련된 명령에 대한 입력 데이터 또는 출력 데이터를 포함할 수 있다. 메모리(130)는, 휘발성 메모리 또는 비휘발성 메모리를 포함할 수 있다. 다양한 실시예에 따라서, 메모리(130)는, 소스 코드, 소스 코드를 검증하기 위한 비교용 파일, 패치 파일 중 적어도 하나를 저장할 수 있다. 메모리(130)는, 소스 코드의 로드, 편집, 제공등을 위한 위한 명령어(또는, 프로그램, 또는 어플리케이션), 소스 코드의 검증을 위한 비교를 위한 명령어, 패치 파일 로드를 위한 명령어, 패치 파일로부터 비교용 파일을 생성하기 위한 명령어와 같은 다양한 명령어를 저장할 수 있다.
입력 장치(150)는, 사용자 입력을 입력받아, 사용자 입력을 전기적인 신호로 변환하여 프로세서(120)로 전달할 수 있다. 입력 장치(150)는, 예를 들어 키보드, 마우스, 전자 펜 등으로 구현될 수 있으나, 마이크, 터치 패널, 카메라 등의 외부의 정보를 수신할 수 있는 장치라면 제한이 없다. 아울러, 입력 장치(150)는, 전자 장치(101)의 하우징 외에 배치될 수도 있다. 구현에 따라, 입력 장치(150)는 전자 장치(101)에 포함되지 않을 수도 있다. 입력 장치(150)는, 전자 장치(101)의 다양한 동작을 수행하도록 하는 명령어 등을 입력받을 수 있다.
출력 장치(160)는, 전자 장치(101)의 외부(예: 사용자)로 정보를 시각적, 청각적, 또는 촉각적으로 제공할 수 있다. 출력 장치(160)는, 예를 들면, LCD 패널, 홀로그램 장치, 또는 프로젝터 및 해당 장치를 제어하기 위한 제어 회로를 포함할 수 있다. 일실시예에 따르면, 출력 장치(160)는 터치를 감지하도록 설정된 터치 회로(touch circuitry), 또는 상기 터치에 의해 발생되는 힘의 세기를 측정하도록 설정된 센서 회로(예: 압력 센서)를 포함할 수 있다. 출력 장치(160) 또한 전자 장치(101)의 하우징 외에 배치될 수도 있다. 구현에 따라, 출력 장치(160)는 전자 장치(101)에 포함되지 않을 수도 있다.
통신 회로(190)은 전자 장치(101)와 외부 전자 장치간의 직접(예: 유선) 통신 채널 또는 무선 통신 채널의 수립, 및 수립된 통신 채널을 통한 통신 수행을 지원할 수 있다. 통신 회로(190)은 프로세서(120)(예: 어플리케이션 프로세서)와 독립적으로 운영되고, 직접(예: 유선) 통신 또는 무선 통신을 지원하는 하나 이상의 커뮤니케이션 프로세서를 포함할 수 있다. 일실시예에 따르면, 통신 회로(190)은 무선 통신 모듈(예: 셀룰러 통신 모듈, 근거리 무선 통신 모듈, 또는 GNSS(global navigation satellite system) 통신 모듈) 또는 유선 통신 모듈(예: LAN(local area network) 통신 모듈, 또는 전력선 통신 모듈)을 포함할 수 있다. 이들 통신 모듈 중 해당하는 통신 모듈은 제 1 네트워크(예: 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크) 또는 제 2 네트워크(예: 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크)를 통하여 외부 전자 장치와 통신할 수 있다. 이런 여러 종류의 통신 모듈들은 하나의 구성 요소(예: 단일 칩)으로 통합되거나, 또는 서로 별도의 복수의 구성 요소들(예: 복수 칩들)로 구현될 수 있다. 무선 통신 모듈은 가입자 식별 모듈에 저장된 가입자 정보(예: 국제 모바일 가입자 식별자(IMSI))를 이용하여 제 1 네트워크 또는 제 2 네트워크와 같은 통신 네트워크 내에서 전자 장치(101)를 확인 및 인증할 수 있다.
다양한 실시예에 따라서, 메모리(130)는, 적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 패치 파일에 포함된 적어도 하나의 문자열 각각이 분류된 수정 사항 및 취약 사항 중 어느 하나를 포함하는 비교용 파일을 저장할 수 있다. 프로세서(120)는, 메모리(130) 및 표시 장치(160)에 기능적으로 연결될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 메모리(130)에 저장된 상기 적어도 하나의 소스 코드를 로딩하고, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하고, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치를 통하여 제공하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작의 적어도 일부로, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열의 전체의 개수에 대한 상기 제 1 문자열 중 상기 소스 코드에 포함된 문자열의 개수의 비율인 제 1 일치율, 및 상기 비교용 파일의 상기 수정 사항에 포함된 적어도 하나의 제 2 문자열의 전체의 개수에 대한 상기 제 2 문자열 중 상기 소스 코드에 포함된 문자열의 개수의 비율인 제 2 일치율 중 적어도 하나를 확인하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작의 적어도 일부로, 상기 제 1 일치율이 제 1 임계치를 초과하는 것으로 확인되면, 상기 소스 코드가 패치되지 않은 것으로 확인하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치(160)를 통하여 제공하는 동작의 적어도 일부로, 상기 제 1 일치율을 상기 소스 코드가 패치되지 않은 확률로서 제공할 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작의 적어도 일부로, 상기 제 2 일치율이 제 2 임계치를 초과하는 것으로 확인되면, 상기 소스 코드가 패치된 것으로 확인하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치(160)를 통하여 제공하는 동작의 적어도 일부로, 상기 제 2 일치율을 상기 소스 코드가 패치된 확률로서 제공하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작의 적어도 일부로, 상기 소스 코드에 포함된 문자열들 중, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열과 적어도 일부가 동일한 적어도 하나의 부분 문자열을 확인하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치(160)를 통하여 제공하는 동작의 적어도 일부로, 상기 확인된 부분 문자열의 위치에 대한 정보를 제공하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일에 포함된 문자열과, 상기 소스 코드에 포함된 문자열을 비교하는 동작의 적어도 일부로, 상기 소스 코드에 포함된 문자열들 중, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열과 적어도 일부가 동일한 적어도 하나의 부분 문자열을 확인하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 비교 결과에 기반하여 확인된 상기 소스 코드가 패치된지 여부, 상기 소스 코드가 패치된 확률, 및 상기 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 출력 장치(160)를 통하여 제공하는 동작의 적어도 일부로, 상기 소스 코드를 표시하면서, 상기 확인된 부분 문자열을 나머지 문자열과 구분되도록 표시하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 소스 코드의 파일 식별 정보를 확인하고, 상기 소스 코드의 파일 식별 정보에 대응하는 파일 식별 정보를 가지는 상기 비교용 파일을 확인하도록 더 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 적어도 하나의 소스 코드의 적어도 일부에 대응하는 패치 파일을, 상기 통신 회로(190)를 통하여 수신하고, 상기 패치 파일이 적용되는 소스 코드를 식별하기 위한 파일 식별 정보를 확인하고, 상기 패치 파일에 포함된 적어도 하나의 문자열 각각을, 수정 사항 또는 취약 사항 중 어느 하나로 분류하고, 상기 파일 식별 정보와, 상기 수정 사항, 및 상기 취약 사항 중 적어도 하나를 포함하는, 상기 소스 코드와의 비교를 위한 비교용 파일을 생성하여, 상기 메모리(130)에 저장하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 파일 식별 정보와, 상기 수정 사항, 및 상기 취약 사항 중 적어도 하나를 포함하는, 상기 소스 코드와의 비교를 위한 비교용 파일을 생성하는 동작의 적어도 일부로, 상기 수정 사항에 포함된 문자열 및 상기 취약 사항에 포함된 문자열 중 서로 동일한 공통 문자열을 확인하고, 상기 수정 사항에 포함된 문자열 중 상기 공통 문자열을 제외시킴으로써 조정된 수정 사항을 생성하고, 상기 취약 사항에 포함된 문자열 중 상기 공통 문자열을 제외시킴으로써 조정된 취약 사항을 생성하고, 상기 파일 식별 정보와, 상기 조정된 수정 사항 및 상기 조정된 취약 사항 중 적어도 하나를 포함하는, 비교용 파일을 생성하도록 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 통신 회로(190)를 통하여, 복수 개의 패치 파일을 수집하고, 상기 복수 개의 패치 파일에 포함된 정보, 및 상기 복수 개의 패치 파일의 확장자 중 적어도 하나가 지정된 조건을 만족하는 패치 파일에 대하여 비교용 파일을 생성하도록 더 설정될 수 있다.
다양한 실시예에 따라서, 상기 프로세서(120)는, 상기 파일 식별 정보와, 상기 수정 사항, 및 상기 취약 사항 중 적어도 하나를 포함하는, 상기 소스 코드와의 비교를 위한 비교용 파일을 생성하는 동작의 적어도 일부로, 상기 취약 사항에 포함된 적어도 하나의 문자열부터 삭제를 나타내는 제 1 접두어를 제외하고, 상기 수정 사항에 포함된 적어도 하나의 문자열로부터 수정을 나타내는 제 2 접두어를 제외하고, 상기 제 1 접두어를 제외시킨 조정된 취약 사항 및 상기 제 2 접두어를 제외시킨 조정된 수정 사항 중 적어도 하나를 포함하는 비교용 파일을 생성하도록 설정될 수 있다.
도 3은 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다. 도 3의 실시예는 도 4를 참조하여 더욱 상세하게 설명하도록 한다. 도 4는 다양한 실시예에 따른 비교용 파일을 생성하는 과정을 설명하는 도면이다 .
다양한 실시예에 따라서, 전자 장치(101)는, 301 동작에서, 적어도 하나의 파일에 대응하는 적어도 하나의 패치 파일을 수신할 수 있다. 상술한 바와 같이, 전자 장치(101)는, CVE에 대응하는 서버(104)로부터 수신한 정보에 기반하여 자동으로 서버(108)에 접속하여 관련 패치 파일을 다운로드하거나, 또는 사용자의 조작에 의하여 서버(108)에 접속하여 관련 패치 파일을 다운로드할 수도 있다. 또는, 전자 장치(101)는, 무작위로 패치 파일을 다운로드할 수도 있다. 전자 장치(101)는, 서버(108)뿐만 아니라 다른 소스에 대응하는 서버(미도시)에 접속하여 패치 파일을 다운로드할 수 있다. 예를 들어, 전자 장치(101)는, 확인된 취약점에 대한 정보에 기반하여, 다양한 웹 크롤링 방식을 통하여 패치 파일을 수집할 수 있다. 전자 장치(101)는, 저장된 소스 코드에 대응하는 취약점에 대한 정보를 확인할 수 있으며, 확인된 취약점에 대한 정보에 기반하여 저장된 소스 코드에 대응하는 패치 파일을 수집할 수 있다. 다양한 실시예에서, 전자 장치(101)는, 저장된 소스 코드에 대응하는 패치 파일뿐만 아니라, 다른 패치 파일도 함께 수집할 수도 있다.
예를 들어, 전자 장치(101)는 도 4의 패치 파일들(401,402,403)을 수신할 수 있다. 제 1 패치 파일(401)은 복수 개의 문자열(-A, +B, +C, -D, -A, +E, -F, +A)들을 포함할 수 있다. 설명의 편의를 위하여, 도 4에서는 복수 개의 문자열(-A, +B, +C, -D, -A, +E, -F, +A) 각각을 하나의 영어 대문자로 도시하였지만, 하나의 영문 대문자는 소스 코드를 구성하는 문자열(예: - for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, bvp);)일 수 있다. 한편, 패치 파일에 포함된 “-“는 이후의 문자열을 소스 코드로부터 삭제하라는 의미의 접두어이며, “+”는 이후의 문자열을 소스 코드에 추가하라는 의미의 접두어일 수 있다.
본 개시에서, 전자 장치(101)가 특정 과정을 수행하는 것은, 전자 장치(101)에 포함된 프로세서(120)가, 특정 과정을 수행하거나, 특정 과정을 수행하도록 다른 하드웨어를 제어하는 것을 의미할 수 있다. 또는, 전자 장치(101)가 특정 과정을 수행하는 것은, 프로세서(120)의 제어 없이 특정 하드웨어가 특정 과정을 수행하는 것을 의미할 수 있다. 또는, 전자 장치(101)가 특정 과정을 수행하는 것은, 예를 들어 전자 장치(101)에 포함된 메모리(130)에 저장된 적어도 하나의 명령이 실행됨에 따라서, 프로세서(120)가 특정 과정을 수행하거나, 특정 과정을 수행하도록 다른 하드웨어를 제어하는 것을 의미할 수도 있다
전자 장치(101)는, 303 동작에서, 적어도 하나의 패치 파일에 기반하여 취약 사항 및 수정 사항을 분류할 수 있다. 전자 장치(101)는, 제 1 패치 파일(401)을 토큰화할 수 있다. 예를 들어, 전자 장치(101)는, 컴파일러(compiler) 또는 어셈블러(assembler)를 이용하여, 자구 분석(lexical analysis)을 수행할 수 있다. 전자 장치(101)는, 자구 분석의 결과로, 제 1 패치 파일(401)로부터 복수 개의 문자열(-A, +B, +C, -D, -A, +E, -F, +A)을 각각을 구분할 수 있다. 자구 분석 툴에는 제한이 없다. 전자 장치(101)는, 확인된 문자열(-A, +B, +C, -D, -A, +E, -F, +A)을 수정 사항(411) 및 취약 사항(412) 각각으로 분류할 수 있다. 예를 들어, 전자 장치(101)는, “+”의 접두어를 가지는 문자열(예: +B, +C, +E, +A)을 수정 사항(411)으로 분류할 수 있으며, “-“의 접두어를 가지는 문자열(예: -A, -D, -A, -F)을 취약 사항(412)으로 분류할 수 있다.
305 동작에서, 전자 장치(101)는, 파일 식별 정보와, 취약 사항 및 수정 사항 중 적어도 하나를 포함하는 비교용 파일을 저장할 수 있다. 파일 식별 정보는, 패치 파일이 보완하여야 할 파일을 식별하기 위한 정보일 수 있으며, 예를 들어 패치 파일의 파일 경로(file path), 또는 패치 대상의 파일명과 같은 정보에 기반하여 확인될 수 있다. 파일 식별 정보는 추후 해당 소스가 검사 대상인지 여부를 확인하는데 이용될 수 있으며, 이에 대하여서는 더욱 상세하게 후술하도록 한다. 다양한 실시예에 따라서, 전자 장치(101)는, 파일 식별 정보에 대응하여 취약 사항, 또는 수정 사항, 또는 취약 사항 및 수정 사항 양자를 연관시켜 저장할 수 있다. 예를 들어, 전자 장치(101)는, 표 1과 같은 비교용 파일을 저장할 수 있다.
파일 식별 정보 수정 사항 취약 사항
Code #1 + for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals); + (rc == LDAP_SUCCESS) && bvals;
+ rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals)) { 		- for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, bvp);
- rc == LDAP_SUCCESS;
- rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, bvp)) {
Code #2 + if (f == NULL + || f->addressFamily == NULL
+ || f->addressFamily->data == NULL
+ || f->addressFamily->length < 2)
+ return 0;
+ return (f->addressFamily->data[0] << 8) | f->addressFamily->data[1];
- return ((f != NULL &&
- f->addressFamily != NULL && f->addressFamily->data != NULL)
- ? ((f->addressFamily->data[0] << 8) | (f->addressFamily->data[1]))
- : 0);
Code #3 + size_t alloc; ...
+ size_t newlen;
...
+ if(inlength < 0)
+ return NULL;
+
+ alloc = (inlength?(size_t)inlength:strlen(string))+1;
+ newlen = alloc; 		- size_t alloc = (inlength?(size_t)inlength:strlen(string))+1;
...
- size_t newlen = alloc;
전자 장치(101)는, 표 1과 같이, 파일 식별 정보에 대응하여 수정 사항 및 취약 사항을 저장할 수 있다. 표 1의 “Code#1”, “Code#2”, “Code#3”는, 소스 코드, 파일, 소프트웨어 등을 식별할 수 있는 식별 정보일 수 있으며, 예를 들어 파일 경로 또는 파일명일 수 있으나, 제한은 없다. 파일 식별 정보는, 각각 제 1 패치 파일, 제 2 패치 파일, 및 제 3 패치 파일로부터 확인될 수 있다. 한편, 상술한 바와 같이, 수정 사항 또는 취약 사항 중 어느 하나만을 파일 식별 정보에 대응시켜 저장할 수도 있다 . 다양한 실시예에서, 전자 장치(101)는, 수정 사항 각각의 문자열로부터 “+”를 제외하고 저장할 수도 있으며, 취약 사항 각각의 문자열로부터 “-“를 제외하고 저장할 수도 있다 . 예를 들어, 전자 장치(101)는, 수정 사항 및 취약 사항을 분류한 이후에, 분류된 문자열의 접두어(즉, “+”, “-“)를 삭제하는 작업을 수행하고, 이후에 “+”접두어가 삭제된 문자열(예: for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals);)을 수정 사항으로 저장하고, “-“ 접두어가 삭제된 문자열(예: for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, bvp);)을 취약 사항으로 저장할 수도 있다.
다양한 실시예에서, 전자 장치(101)는, 하나의 취약 사항에 포함된 복수 개의 문자열간의 순서(sequence) 또한 함께 관리할 수도 있다. 예를 들어, 전자 장치(101)는, “Code#1”의 소스 코드의 수정 사항인 “+ for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals);”이 첫번째 추가 문자열이며, “+ (rc == LDAP_SUCCESS) && bvals;”이 두번째 추가 문자열이며, “+ rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals)) {“가 세 번째 추가 문자열이라는 정보를 저장할 수 있다. 문자열의 순서는 패치 파일 내의 배치 순서에 따라 결정될 수 있다. 예를 들어, 첫번째 추가 문자열인 “+ for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, &bvals);”은, 제 1 패치 파일내에서 두번째 추가 문자열인 “+ (rc == LDAP_SUCCESS) && bvals;”보다 상위 라인에 배치될 수 있다. 전자 장치(101)는, 패치 파일 내에서 상대적으로 상위라인에 위치한 문자열에 선순위를 부여할 수 있다. 문자열이 순서에 따라 관리되는 경우에는, 추후 전자 장치(101)가, 검사 대상의 소스 코드와 비교용 파일을 비교하는 과정에서, 검사 대상의 소스 코드 내의 문자열 배치 순서까지 고려하여 비교를 수행할 수 있으며, 이는 더욱 상세하게 후술하도록 한다.
한편, 다양한 실시예에 따른 전자 장치(101)는, 취약 사항 또는 수정 사항 내의 문자열의 배치 순서를 고려하지 않고, 문자열을 저장할 수도 있다 .
도 5는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다. 도 5의 실시예는 도 6을 참조하여 더욱 상세하게 설명하도록 한다. 도 6은 다양한 실시예에 따른 취약 사항 및 수정 사항의 조정을 설명하기 위한 도면을 도시한다.
다양한 실시예에 따라서, 전자 장치(101)는, 501 동작에서, 적어도 하나의 파일에 대응하는 적어도 하나의 패치 파일을 수신할 수 있다. 503 동작에서, 전자 장치(101)는, 적어도 하나의 패치 파일에 기반하여 취약 사항 및 수정 사항을 분류할 수 있다. 패치 파일의 수신 과정과, 취약 사항 및 수정 사항의 분류 과정은 자세하게 상술하였으므로, 여기에서의 더 이상의 상세한 설명은 생략하도록 한다.
505 동작에서, 전자 장치(101)는, 취약 사항 및 수정 사항 중 공통되는 사항이 존재하는지 여부를 확인할 수 있다. 예를 들어, 도 6에서와 같이, 전자 장치(101)는 503 동작의 분류 결과에 따라, 수정 사항(411) 및 취약 사항(412)을 확인할 수 있다. 전자 장치(101)는, 수정 사항(411) 내의 문자열(+A)과 취약 사항(412) 내의 문자열(-A)가, 접두어만 차이를 가지며, 내용은 동일함을 확인할 수 있다. 만약, 전자 장치(101)가 접두어(“+”, “-“)를 삭제한 이후에 문자열을 저장한 경우에는, 전자 장치(101)는 수정 사항(411) 내의 문자열(A)과 취약 사항(412) 내의 문자열(A)이 동일한 것을 확인할 수도 있다.
취약 사항 및 수정 사항 중 공통되는 사항이 존재하지 않는 것으로 판단되는 경우에, 전자 장치(101)는 507 동작에서 파일 식별 정보와, 취약 사항 및 수정 사항 중 적어도 하나를 포함하는 비교용 파일을 저장할 수 있다. 예를 들어, 전자 장치(101)는 접두어만을 달리하고 내용이 동일한 문자열이 취약 사항 및 수정 사항 모두에 존재하지 않는 경우에, 전자 장치(101)는 확인된 수정 사항 및 취약 사항 중 적어도 하나를 포함하는 비교용 파일을 저장할 수 있다. 또는, 전자 장치(101)는 동일한 문자열이 취약 사항 및 수정 사항 모두에 존재하지 않는 경우에, 전자 장치(101)는 확인된 수정 사항 및 취약 사항 중 적어도 하나를 포함하는 비교용 파일을 저장할 수도 있다.
취약 사항 및 수정 사항 중 공통되는 사항이 존재하는 것으로 판단되는 경우에, 전자 장치(101)는, 509 동작에서, 공통되는 사항을 삭제할 수 있다. 예를 들어, 도 6에서와 같이 “+A”의 문자열 및 “-A”의 문자열이 접두어만을 달리하고 내용이 동일한 것으로 확인되면, 전자 장치(101)는 내용이 동일한 것으로 확인되는 “+A” 및 “-A”의 문자열들을 삭제함으로써, 조정된 수정 사항(421) 및 조정된 취약 사항(422)을 생성할 수 있다. 또는, 접두어를 이미 삭제한 경우에는, 전자 장치(101)는 수정 사항 및 취약 사항에 공통적으로 포함된 문자열(A)를 삭제함으로써, 조정된 수정 사항 및 조정된 취약 사항을 생성할 수도 있다. 한편, 도 6의 도면에서는 취약 사항(412)에 존재하는 두 개의 “-A” 중 첫 번째 “-A”만을 삭제하는 것과 같이 도시되어 있지만, 이는 예시적인 것이며, 두 개의 “-A”가 모두 삭제될 수도 있다. 511 동작에서, 전자 장치(101)는, 공통되는 사항을 삭제한 취약 사항 및 공통되는 사항을 삭제한 수정 사항 중 적어도 하나를 포함하는 비교용 파일을 저장할 수 있다.
다양한 실시예에서, 전자 장치(101)는, 취약 사항 및 수정 사항 사이의 공통 사항을 삭제하는 방식으로 비교용 파일을 생성할 수도 있으며, 또는 공통 사항을 삭제하지 않고 비교용 파일을 생성할 수도 있다 .
다양한 실시예에서, 전자 장치(101)는 취약 사항 및 수정 사항에 포함된 문자열의 길이가 지정된 조건을 만족하는 경우에, 지정된 조건을 만족하는 문자열을 취약 사항 및 수정 사항 중 적어도 하나로부터 삭제할 수도 있다. 예를 들어, 전자 장치(101)는 문자열의 길이가 임계치보다 작은 경우에, 해당 문자열을 취약 사항 및 수정 사항 중 적어도 하나로부터 삭제할 수도 있다. 또는, 전자 장치(101)는 문자열에 지정된 문자(예: “return”)가 포함된 경우에, 해당 문자열을 취약 사항 및 수정 사항 중 적어도 하나로부터 삭제할 수도 있다 .
도 7a는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다. 도 7a의 실시예는 도 8을 참조하여 더욱 상세하게 설명하도록 한다. 도 8은 다양한 실시예에 따른 비교용 파일 및 소스 코드의 비교 과정을 설명하기 위한 도면을 도시한다.
다양한 실시예에 따라서, 전자 장치(101)는 701 동작에서, 검사 대상 파일을 로딩할 수 있다. 예를 들어, 전자 장치(101)는, 제작중인 어플리케이션(또는, 완성된 어플리케이션)을 검사 대상 파일로서 로딩할 수 있다. 여기에서, 검사 대상 파일은, 어플리케이션(또는, 프로그램)을 지칭할 수도 있으며, 어플리케이션에 포함된 소스 코드를 지칭할 수도 있다.
전자 장치(101)는, 703 동작에서, 검사 대상 파일을 토큰화하여 복수 개의 문자열을 확인할 수 있다. 예를 들어, 도 8에서와 같이, 전자 장치(101)는, 검사 대상 파일(801)을 토큰화하여 복수 개의 문자열(A, B, D, A, F, A)을 확인할 수 있다. 상술한 바와 같이, 도면의 간략한 도시를 위하여, 문자열을 영문 대문자(A, B, D, A, F, A)로 도시하였지만, 각각의 영문 대문자는, 예를 들어 표 1에 기재된 소스 코드를 구성하는 문자열(예: for(rc = ldap_get_attribute_ber(li->ld, ent, ber, &bv, bvp);)을 의미할 수 있다.
705 동작에서, 전자 장치(101)는, 확인된 복수 개의 문자열을 비교용 파일과 비교할 수 있다. 예를 들어, 도 8에서와 같이, 전자 장치(101)는 검사 대상 파일(801)의 문자열 각각과, 비교용 파일에 포함된 수정 사항(411) 및 취약 사항(412) 중 적어도 하나를 비교할 수 있다. 도 8에서와 같이, 수정 사항(411) 및 취약 사항(412)에 접두어(“+”, “-“)가 함께 반영된 경우에는, 전자 장치(101)는 수정 사항(411) 및 추약 사항(412) 중 적어도 하나의 문자열로부터 접두어를 제외한 이후에, 검사 대상 파일(801)의 문자열과 동일성 여부를 확인할 수 있다. 예를 들어, 도 8에서와 같이, 전자 장치(101)는 비교용 파일의 수정 사항(411)의 4개의 문자열들 중 “B” 및 “A”가 검사 대상 파일(801)의 “B” 및 두 번째 “A”에 동일하다는 제 1 비교 결과(811)를 획득할 수 있다. 검사 대상 파일(801)의 첫번째 문자열이 “A”이며, 수정 사항(411)의 네 번째 문자열이 “+A”이기는 하나, 전자 장치(101)는 수정 사항(411)의 문자열들 사이의 순서 및 검사 대상 파일(801)의 문자열들 사이의 순서를 고려하여 비교를 수행함으로써, 검사 대상 파일(801)의 첫 번째 “A”는 수정 사항(411)의 네 번째 문자열인 “+A”에 대응하지 않는 것으로 판단할 수 있다. 예를 들어, 전자 장치(101)는, 수정 사항(411)의 문자열들과 검사 대상 파일(801)의 문자열들 사이의 LCS(longest common sequence) 계산 결과에 따라 일치율을 확인할 수도 있다. 전자 장치(101)는, 수정 사항(411)의 4개의 문자열들 중 2개가 동일하다는 제 1 비교 결과(811)에 기반하여, 50%의 제 1 일치율(821)을 확인할 수 있다.
전자 장치(101)는, 검사 대상 파일(801)의 문자열과 취약 사항(412)의 문자열을 서로 비교할 수 있다. 전자 장치(101)는, 검사 대상 파일(801)의 문자열들 중 첫번째 “A”, “D”, 두번째 “A”, 및 “F”가 취약 사항(412)의 문자열과 서로 동일하다는 제 2 비교 결과(812)를 확인할 수 있다. 아울러, 전자 장치(101)는, 제 2 비교 결과(812)에 기반하여, 취약 사항(412)의 4개의 문자열 중 4개가 모두 일치한다는 100%의 제 2 일치율(822)을 확인할 수 있다.
707 동작에서, 전자 장치(101)는, 비교 결과에 기반하여, 검사 대상 파일이 취약 사항을 포함한지 여부 또는 검사 대상 파일이 수정 사항을 포함하지 여부 중 적어도 하나를 제공할 수 있다. 예를 들어, 전자 장치(101)는, 제 1 비교율(821)이 임계치를 초과하는지 여부에 기반하여 검사 대상이 수정 사항을 포함한지 여부, 즉 검사 대상 파일이 패치된 버전인지 여부를 제공할 수 있다. 예를 들어, 전자 장치(101)는, 제 2 비교율(822)이 임계치를 초과하는지 여부에 기반하여 검사 대상이 취약 사항을 포함한지 여부, 즉 검사 대상 파일이 패치 이전 버전인지 여부를 제공할 수 있다. 수정 사항의 비교율을 비교하기 위한 임계치는, 취약 사항의 비교율을 비교하기 위한 임계치와 동일할 수도 있고, 상이하게 설정될 수도 있다. 또는, 임계치는 수정 사항 또는 취약 사항에 포함된 문자열의 개수에 따라서 설정될 수도 있다 .
다양한 실시예에서, 전자 장치(101)는 상술한 바와 같이, 수정 사항(411) 또는 취약 사항(412)내의 문자열을 순서에 무관하게 관리할 수도 있다. 전자 장치(101)는, 문자열의 배치 순서를 고려하지 않고, 비교용 파일의 문자열과 검사 대상 파일(801)의 문자열의 일치 여부를 확인할 수도 있다.
도 7b 내지 7d는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다. 도 7b 내지 7d의 701 동작 내지 705 동작은 도 7a와 관련하여 상술하였으므로, 여기에서의 설명은 생략하도록 한다. 도 7b의 실시예에서는, 전자 장치(101)는 709 동작에서, 비교 결과에 기반하여, 검사 대상 파일 중 취약 사항의 포함 비율 또는 검사 대상 파일 중 수정 사항의 포함 비율 중 적어도 하나를 제공할 수 있다. 예를 들어, 전자 장치(101)는, 도 8에서의 제 1 비교율(821) 및 제 2 비교율(822) 중 적어도 하나를 제공할 수도 있다.
도 7c의 실시예에서는, 전자 장치(101)는 711 동작에서, 비교 결과에 기반하여, 검사 대상 파일의 복수 개의 문자열 중 취약 사항에 대응하는 문자열 또는 수정 사항에 대응하는 문자열 중 적어도 하나를 다른 문자열과 구분하여 표시할 수 있다. 예를 들어, 전자 장치(101)는, 전체의 소스 코드 중 수정 사항 또는 취약 사항에 대응하는 문자열의 컬러, 크기, 주변 컬러 등의 다양한 속성을, 다른 문자열과 구분하여 제공할 수 있다.
도 7d의 실시예에서는, 전자 장치(101)는 713 동작에서, 비교 결과에 기반하여, 검사 대상 파일의 복수 개의 문자열 중 취약 사항에 대응하는 문자열 또는 수정 사항에 대응하는 문자열 중 적어도 하나의 위치에 대한 정보를 제공할 수 있다. 예를 들어, 전자 장치(101)는, 전체의 소스 코드 중 수정 사항 또는 취약 사항에 대응하는 문자열의 라인 넘버 등의 위치 정보를 제공할 수도 있다.
도 9는 다양한 실시예에 따른 전자 장치의 동작 방법을 설명하기 위한 흐름도를 도시한다 .
다양한 실시예에 따라서, 전자 장치(101)는, 901 동작에서, 검사 대상 파일을 로딩할 수 있다. 903 동작에서, 전자 장치(101)는, 검사 대상 파일의 식별 정보 및 비교용 파일의 식별 정보를 비교하여, 비교 결과에 기반하여 검사 대상 파일이 검사 대상인지 여부를 확인할 수 있다. 예를 들어, 전자 장치(101)는 표 1에서와 같은 비교용 파일의 파일 식별 정보를, 검사 대상 파일의 파일 식별 정보와 비교할 수 있다. 비교 결과에 따라서, 검사 대상 파일이 검사 대상인 것으로 확인되면, 전자 장치(101)는 905 동작에서, 검사 대상 파일을 토큰화하여 복수 개의 문자열을 확인할 수 있다. 907 동작에서, 전자 장치(101)는, 확인된 복수 개의 문자열을 비교용 파일과 비교할 수 있다. 909 동작에서, 전자 장치(101)는, 비교 결과에 기반하여, 검사 대상 파일이 취약 사항을 포함한지 여부 또는 검사 대상 파일이 수정 사항을 포함하지 여부 중 적어도 하나를 제공할 수 있다.
도 10a 내지 10d는 다양한 실시예에 따른 패치 파일, 비교용 파일, 및 검사 대상 파일을 도시한다.
도 10a를 참조하면, 전자 장치(101)는 예를 들어 CVE-2016-7167의 취약점을 해결하기 위한 패치 파일(1001)을 수집할 수 있다. 전자 장치(101)는, 패치 파일(1001)에 포함된 문자열들을 파싱할 수 있으며, 파싱된 문자열들을 취약 사항(1002) 및 수정 사항(1003)으로 분류할 수 있다. 전자 장치(101)는, 취약 사항(1002)의 문자열과 검사 대상 파일(1004)의 문자열을 비교할 수 있으며, 취약 사항(1002)의 문자열들 전체가 검사 대상 파일(1004)의 문자열 중 적어도 일부(1005)와 동일함을 확인할 수 있다. 이에 따라, 전자 장치(101)는, 취약 사항(1002)과 검사 대상 파일(1004) 사이의 일치율이 100%임을 확인할 수 있다. 전자 장치(101)는, 예를 들어 검사 대상 파일(1004)의 소스 코드를 표시하면서, 취약 사항(1002)의 문자열과 동일한 문자열(1005)을 다른 문자열과 구분하여 표시할 수도 있다. 아울러, 전자 장치(101)는, 수정 사항(1003)와 검사 대상 파일(1004)의 문자열을 비교할 수도 있다. 전자 장치(101)는, 검사 대상 파일(1004) 내에 수정 사항(1003)의 문자열과 대응되는 문자열이 없음을 확인할 수 있다. 이에 따라, 전자 장치(101)는, 수정 사항(1003)과 검사 대상 파일(1004) 사이의 일치율이 0%임을 확인할 수 있다. 전자 장치(101)는, 취약 사항(1002)과 검사 대상 파일(1004) 사이의 일치율(100%)가 임계치를 초과하는 것으로 확인할 수 있으며, 이에 대응하여 검사 대상 파일(1004)이 패치가 요구되는 것, 또는 패치 이전 버전의 파일이라는 분석 결과를 제공할 수 있다. 또는, 전자 장치(101)는, 취약 사항(1002)과 검사 대상 파일(1004) 사이의 일치율(100%)을 제공할 수도 있다.
도 10b 내지 10d 각각의 실시예에서, 전자 장치(101)는, CVE-2017-3735, CVE-2016-7167, 및 CVE-2014-3569 각각의 취약점을 해결하기 위한 패치 파일(1011,1021,1031)을 수집할 수 있다. 전자 장치(101)는, 수집한 패치 파일(1011,1021,1031)로부터 취약 사항(1012,1022,1032) 및 수정 사항(1013,1023,1033)을 분류할 수 있다. 도 10b 내지 10d의 실시예 각각에서는, 전자 장치(101)는, 취약 사항(1012,1022,1023)의 모든 문자열이 검사 대상 파일(1014,1024,1034)의 적어도 일부와 동일함을 확인할 수 있으며, 이에 따라 취약 사항(1012,1024,1034) 및 검사 대상 파일(1014,1024,1034) 사이의 일치율을 100%로 확인할 수 있다. 전자 장치(101)는, 수정 사항(1013,1023,1033)의 모든 문자열이 검사 대상 파일(1014,1024,1034)의 어느 문자열과도 동일하지 않음을 확인할 수 있으며, 이에 따라 수정 사항(1013,1023,1033) 및 검사 대상 파일(1014,1024,1034) 사이의 일치율을 0%로 확인할 수 있다. 다양한 실시예에 따른 전자 장치(101)는, 도 10a 내지 10d에서 도시된 바와 같이, 취약 코드에 대응하는 문자열(1005,1015,1025,1026,1035)을 다른 문자열과 구분되도록 표시할 수도 있다.
도 11a 및 11b는 다양한 실시예에 따른 전자 장치가 제공하는 화면의 예시를 설명하기 위한 도면들이다 .
도 11a를 참조하면, 전자 장치(101)는 제 1 화면(1100)을 예를 들어 출력 장치(160)를 통하여 표시할 수 있다. 제 1 화면(1100)은 프로그램 A에 대한 검색 결과(search result)를 제공하기 위한 화면일 수 있다. 제 1 화면(1100)은 프로그램 A에 포함된 적어도 하나의 소스 코드들의 식별 정보(1101,1103,1105)를 포함할 수 있다. 전자 장치(101)는, 제 1 소스 코드(예: source a)에 대응하는 제 1 비교용 파일과, 제 1 소스 코드를 비교하고, 비교 결과에 기반하여 패치된지 여부를 나타내는 오브젝트(1102)를 표시할 수 있다. 전자 장치(101)는, 제 1 비교용 파일의 파일 식별 정보와 제 1 소스 코드의 파일 식별 정보를 비교함으로써, 제 1 비교용 파일이 제 1 소스 코드와의 비교를 위한 것임을 확인할 수 있다. 예를 들어, 전자 장치(101)는, 제 1 비교용 파일의 수정 사항이 제 1 소스 코드에 반영된 일치율이 임계치를 초과하는 것을 확인하고, 이에 따라 제 1 소스 코드가 패치된 것으로 확인할 수 있다. 전자 장치(101)는, 이에 따라 패치된 것을 나타내는 오브젝트(1102)를 제 1 소스 코드의 식별 정보(1101)에 대응하는 위치에 표시할 수 있다. 전자 장치(101)는, 제 2 소스 코드(예: source b), 및 제 3 소스 코드(예: source c) 각각의 파일 식별 정보를 이용하여, 제 2 소스 코드에 대응하는 제 2 비교용 파일 및 제 3 소스 코드에 대응하는 제 3 비교용 파일을 확인할 수 있다. 전자 장치(101)는, 제 2 비교용 파일을 제 2 소스 코드와 비교할 수 있으며, 비교 결과에 기반하여 제 2 소스 코드가, 제 2 비교용 파일에 포함된 취약 사항의 문자열을 포함하는 것으로 확인할 수 있다. 전자 장치(101)는, 패치되지 않았음을 나타내는 오브젝트(1104)를 제 2 소스 코드의 식별 정보(1103)에 대응하는 위치에 표시할 수 있다. 아울러, 전자 장치(101)는, 제 3 비교용 파일을 제 3 소스 코드와 비교할 수 있으며, 비교 결과에 기반하여 제 3 소스 코드가, 제 3 비교용 파일에 포함된 취약 사항의 문자열을 포함하지 않고, 제 3 비교용 파일에 포함된 수정 사항의 문자열을 포함하는 것을 확인할 수 있다. 전자 장치(101)는, 패치되었음을 나타내는 오브젝트(1106)를 제 3 소스 코드의 식별 정보(1105)에 대응하는 위치에 표시할 수 있다. 프로그램 A의 제작자는, 제 1 화면(1100)을 확인함으로써, 프로그램 A에 포함된 제 2 소스 코드가 패치되기 이전의 버전임을 확인할 수 있다. 프로그램 A의 제작자는, 제 2 소스 코드에 패치 파일을 적용하도록 전자 장치(101)를 조작할 수 있으며, 이에 따라 프로그램 A가 패치되지 않은 취약점을 가지는 소스 코드를 포함하여 출시되는 것이 방지될 수 있다. 다양한 실시예에 따른 전자 장치(101)는, 패치되지 않은 것으로 확인된 제 2 소스 코드에 자동으로 패치 파일을 적용할 수도 있다.
도 11b를 참조하면, 전자 장치(101)는, 프로그램 A의 검색 결과를 나타내는 제 2 화면(1110)을 표시할 수 있다. 제 2 화면(1110)은 프로그램 A에 포함된 적어도 하나의 소스 코드들의 식별 정보(1111,1113,1115)를 포함할 수 있다. 전자 장치(101)는, 소스 코드들 각각에 대응하는 패치된 확률을 나타내는 오브젝트들(1112,1114,1116)을, 식별 정보(1111,1113,11115) 각각에 대응하는 위치에 표시할 수 있다. 오브젝트들(1112,1114,1116) 내의 확률은, 예를 들어 소스 코드들 각각의 비교용 파일들에 포함되는 수정 사항의 문자열 전체 개수에 대한, 수정 사항과 소스 코드에 공통적으로 포함되는 문자열의 개수 사이의 비율로서 결정될 수 있다.
전자 장치(101)는, 소스 코드들 각각에 대응하는 패치되지 않은 확률을 나타내는 오브젝트들(1121,1122,1123)을, 식별 정보(1111,1113,11115) 각각에 대응하는 위치에 표시할 수 있다. 오브젝트들(1121,1122,1123) 내의 확률은, 예를 들어 소스 코드들 각각의 비교용 파일들에 포함되는 취약 사항의 문자열 전체 개수에 대한, 취약 사항과 소스 코드에 공통적으로 포함되는 문자열의 개수 사이의 비율로서 결정될 수 있다.
본 문서의 다양한 실시예들은 기기(machine)(예: 컴퓨터)로 읽을 수 있는 저장 매체(machine-readable storage media)(예: 내장 메모리 또는 외장 메모리)에 저장된 명령어를 포함하는 소프트웨어(예: 프로그램)로 구현될 수 있다. 기기는, 저장 매체로부터 저장된 명령어를 호출하고, 호출된 명령어에 따라 동작이 가능한 장치로서, 개시된 실시예들에 따른 전자 장치(예: 전자 장치(101))를 포함할 수 있다. 상기 명령이 프로세서(예: 프로세서(120))에 의해 실행될 경우, 프로세서가 직접, 또는 상기 프로세서의 제어하에 다른 구성요소들을 이용하여 상기 명령에 해당하는 기능을 수행할 수 있다. 명령은 컴파일러 또는 인터프리터에 의해 생성 또는 실행되는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, ‘비일시적’은 저장매체가 신호(signal)를 포함하지 않으며 실재(tangible)한다는 것을 의미할 뿐 데이터가 저장매체에 반영구적 또는 임시적으로 저장됨을 구분하지 않는다.
일시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 온라인으로 배포될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
다양한 실시예들에 따른 구성 요소(예: 모듈 또는 프로그램) 각각은 단수 또는 복수의 개체로 구성될 수 있으며, 전술한 해당 서브 구성 요소들 중 일부 서브 구성 요소가 생략되거나, 또는 다른 서브 구성 요소가 다양한 실시예에 더 포함될 수 있다. 대체적으로 또는 추가적으로, 일부 구성 요소들(예: 모듈 또는 프로그램)은 하나의 개체로 통합되어, 통합되기 이전의 각각의 해당 구성 요소에 의해 수행되는 기능을 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따른, 모듈, 프로그램 또는 다른 구성 요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱하게 실행되거나, 적어도 일부 동작이 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.

Claims (20)

  1. 전자 장치에 있어서,
    표시 장치;
    메모리; 및
    상기 메모리 및 상기 표시 장치에 기능적으로 연결되는 프로세서
    를 포함하고,
    상기 프로세서는,
    적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일을 상기 메모리에 저장하고, 상기 비교용 파일은 패치에 의해 상기 적어도 하나의 소스 코드에 추가될 문자열들을 나타내는 수정 사항 및 패치에 의해 상기 적어도 하나의 소스 코드로부터 삭제될 문자열들을 나타내는 취약 사항을 포함하고,
    상기 메모리에 저장된 상기 적어도 하나의 소스 코드를 로딩하고,
    상기 적어도 하나의 소스 코드에 대응하는 상기 비교용 파일의 취약 사항에 포함된 적어도 하나의 제 1 문자열과, 상기 적어도 하나의 소스 코드에 포함된 문자열을 비교함으로써 제 1 일치율을 확인하고,
    상기 적어도 하나의 소스 코드에 대응하는 상기 비교용 파일의 수정 사항에 포함된 적어도 하나의 제 2 문자열과, 상기 적어도 하나의 소스 코드에 포함된 문자열을 비교함으로써 제 2 일치율을 확인하고,
    상기 제 1 일치율 및 상기 제2 일치율에 기반하여, 상기 적어도 하나의 소스 코드가 패치되었는지의 여부, 상기 적어도 하나의 소스 코드가 패치된 확률, 및 상기 적어도 하나의 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 상기 표시 장치를 통하여 제공하도록 설정된 전자 장치.
  2. 제 1 항에 있어서,
    상기 제 1 일치율은 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열의 전체의 개수에 대한 상기 제 1 문자열 중 상기 적어도 하나의 소스 코드에 포함된 문자열의 개수의 비율을 나타내고, 상기 제 2 일치율은 상기 비교용 파일의 상기 수정 사항에 포함된 적어도 하나의 제 2 문자열의 전체의 개수에 대한 상기 제 2 문자열 중 상기 적어도 하나의 소스 코드에 포함된 문자열의 개수의 비율을 나타내는 전자 장치.
  3. 제 2 항에 있어서,
    상기 프로세서는 상기 제 1 일치율이 제 1 임계치를 초과하는 것으로 확인되면, 상기 적어도 하나의 소스 코드가 패치되지 않은 것으로 확인하도록 설정된 전자 장치.
  4. 제 2 항에 있어서,
    상기 프로세서는 상기 제 1 일치율을 상기 적어도 하나의 소스 코드가 패치되지 않은 확률로서 제공하도록 설정된 전자 장치.
  5. 제 2 항에 있어서,
    상기 프로세서는 상기 제 2 일치율이 제 2 임계치를 초과하는 것으로 확인되면, 상기 적어도 하나의 소스 코드가 패치된 것으로 확인하도록 설정된 전자 장치.
  6. 제 2 항에 있어서,
    상기 프로세서는 상기 제 2 일치율을 상기 적어도 하나의 소스 코드가 패치된 확률로서 제공하도록 설정된 전자 장치.
  7. 제 1 항에 있어서,
    상기 프로세서는, 상기 적어도 하나의 소스 코드에 포함된 문자열들 중, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열과 적어도 일부가 동일한 적어도 하나의 부분 문자열을 확인하고,
    상기 확인된 부분 문자열의 위치에 대한 정보를 상기 표시 장치를 통하여제공하도록 설정된 전자 장치.
  8. 제 1 항에 있어서,
    상기 프로세서는, 상기 적어도 하나의 소스 코드에 포함된 문자열들 중, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열과 적어도 일부가 동일한 적어도 하나의 부분 문자열을 확인하도록 설정되고,
    상기 적어도 하나의 소스 코드를 표시하면서, 상기 확인된 부분 문자열을 나머지 문자열과 구분되도록 표시하도록 설정된 전자 장치.
  9. 제 1 항에 있어서,
    상기 프로세서는,
    상기 적어도 하나의 소스 코드의 파일 식별 정보를 확인하고, 상기 적어도 하나의 소스 코드의 파일 식별 정보에 대응하는 파일 식별 정보를 가지는 상기 비교용 파일을 확인하도록 더 설정된 전자 장치.
  10. 전자 장치의 동작 방법에 있어서,
    적어도 하나의 소스 코드와, 상기 적어도 하나의 소스 코드에 대응하는 비교용 파일을 상기 전자 장치의 메모리에 저장하는 동작, 상기 비교용 파일은 패치에 의해 상기 적어도 하나의 소스 코드에 추가될 문자열들을 나타내는 수정 사항 및 패치에 의해 상기 적어도 하나의 소스 코드로부터 삭제될 문자열들을 나타내는 취약 사항을 포함하고;
    상기 메모리에 저장된 상기 적어도 하나의 소스 코드를 로딩하는 동작;
    상기 적어도 하나의 소스 코드에 대응하는 상기 비교용 파일의 취약 사항에 포함된 적어도 하나의 제 1 문자열과, 상기 적어도 하나의 소스 코드에 포함된 문자열을 비교함으로써 제 1 일치율을 확인하는 동작;
    상기 적어도 하나의 소스 코드에 대응하는 상기 비교용 파일의 수정 사항에 포함된 적어도 하나의 제 2 문자열과, 상기 적어도 하나의 소스 코드에 포함된 문자열을 비교함으로써 제 2 일치율을 확인하는 동작; 및
    상기 제 1 일치율 및 상기 제2 일치율 중의 적어도 하나에 기반하여, 상기 적어도 하나의 소스 코드가 패치되었는지의 여부, 상기 적어도 하나의 소스 코드가 패치된 확률, 및 상기 적어도 하나의 소스 코드 내의 취약점에 대한 정보 중 적어도 하나를 제공하는 동작
    을 포함하는 전자 장치의 동작 방법.
  11. 제 10 항에 있어서,
    상기 제 1 일치율은 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열의 전체의 개수에 대한 상기 제 1 문자열 중 상기 적어도 하나의 소스 코드에 포함된 문자열의 개수의 비율을 나타내고, 상기 제 2 일치율은 상기 비교용 파일의 상기 수정 사항에 포함된 적어도 하나의 제 2 문자열의 전체의 개수에 대한 상기 제 2 문자열 중 상기 적어도 하나의 소스 코드에 포함된 문자열의 개수의 비율을 나타내는 전자 장치의 동작 방법.
  12. 제 11 항에 있어서,
    상기 제 1 일치율이 제 1 임계치를 초과하는 것으로 확인되면, 상기 적어도 하나의 소스 코드가 패치되지 않은 것으로 확인되는 전자 장치의 동작 방법.
  13. 제 11 항에 있어서,
    상기 제 1 일치율이 상기 적어도 하나의 소스 코드가 패치되지 않은 확률로서 제공되는 전자 장치의 동작 방법.
  14. 제 11 항에 있어서,
    상기 제 2 일치율이 제 2 임계치를 초과하는 것으로 확인되면, 상기 적어도 하나의 소스 코드가 패치된 것으로 확인되는 전자 장치의 동작 방법.
  15. 제 11 항에 있어서,
    상기 제 2 일치율이 상기 적어도 하나의 소스 코드가 패치된 확률로서 제공되는 전자 장치의 동작 방법.
  16. 제 10 항에 있어서,
    상기 적어도 하나의 소스 코드에 포함된 문자열들 중, 상기 비교용 파일의 상기 취약 사항에 포함된 적어도 하나의 제 1 문자열과 적어도 일부가 동일한 적어도 하나의 부분 문자열을 확인하는 동작; 및
    상기 확인된 부분 문자열의 위치에 대한 정보를 제공하는 동작을 더 포함하는 전자 장치의 동작 방법.
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
KR1020180061641A 2018-05-30 2018-05-30 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법 KR102505127B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020180061641A KR102505127B1 (ko) 2018-05-30 2018-05-30 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법
PCT/KR2019/005361 WO2019231122A1 (ko) 2018-05-30 2019-05-03 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법
US17/059,768 US11861014B2 (en) 2018-05-30 2019-05-03 Electronic device detecting software vulnerability and method for operating same
CN201980035377.1A CN112166419A (zh) 2018-05-30 2019-05-03 检测软件漏洞的电子装置和操作该电子装置的方法
EP19810278.2A EP3779702B1 (en) 2018-05-30 2019-05-03 Electronic device detecting software vulnerability and method for operating same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180061641A KR102505127B1 (ko) 2018-05-30 2018-05-30 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법

Publications (2)

Publication Number Publication Date
KR20190136232A KR20190136232A (ko) 2019-12-10
KR102505127B1 true KR102505127B1 (ko) 2023-03-02

Family

ID=68698256

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180061641A KR102505127B1 (ko) 2018-05-30 2018-05-30 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법

Country Status (5)

Country Link
US (1) US11861014B2 (ko)
EP (1) EP3779702B1 (ko)
KR (1) KR102505127B1 (ko)
CN (1) CN112166419A (ko)
WO (1) WO2019231122A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11438361B2 (en) * 2019-03-22 2022-09-06 Hitachi, Ltd. Method and system for predicting an attack path in a computer network
US11423155B2 (en) * 2019-08-28 2022-08-23 Servicenow, Inc. Software vulnerability detection in managed networks
US11514171B2 (en) * 2019-10-29 2022-11-29 Dell Products L.P. Code vulnerability detection and remediation
KR102191722B1 (ko) 2020-07-15 2020-12-16 세종대학교산학협력단 딥러닝 모델의 취약점 판단 장치 및 방법
KR102344497B1 (ko) 2020-09-11 2021-12-28 국방과학연구소 소프트웨어 오염 분석 방법 및 이를 이용하는 소프트웨어 오염 분석 장치
US20240223602A1 (en) * 2022-08-24 2024-07-04 Rakuten Mobile, Inc. System and method for pattern-based detection and mitigation of zero-day vulnerability exploitation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101568224B1 (ko) * 2014-12-26 2015-11-11 고려대학교 산학협력단 소프트웨어 취약점 분석방법 및 분석장치

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658626B1 (en) * 1998-07-31 2003-12-02 The Regents Of The University Of California User interface for displaying document comparison information
US6618727B1 (en) * 1999-09-22 2003-09-09 Infoglide Corporation System and method for performing similarity searching
CN101278260B (zh) * 2005-06-07 2012-07-18 威睿公司 使软件程序免于弱点和攻击的约束注入方法
US20070106978A1 (en) * 2005-10-11 2007-05-10 Bea Systems, Inc. Patch management system
JP5785474B2 (ja) 2011-10-27 2015-09-30 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation プログラムのデバッグ方法、デバッグ装置、およびデバッグ支援gui
CN104520871A (zh) 2012-07-31 2015-04-15 惠普发展公司,有限责任合伙企业 漏洞矢量信息分析
CN106575337A (zh) * 2014-08-20 2017-04-19 日本电信电话株式会社 漏洞发现装置、漏洞发现方法以及漏洞发现程序
US9880832B2 (en) * 2015-03-06 2018-01-30 Sap Se Software patch evaluator
US9792443B1 (en) * 2015-03-12 2017-10-17 Whitehat Security, Inc. Position analysis of source code vulnerabilities
US10187418B2 (en) 2015-07-13 2019-01-22 Narf Industries, LLC System and method for identifying and preventing vulnerability exploitation using symbolic constraints
US10747887B2 (en) 2015-10-09 2020-08-18 Nippon Telegraph And Telephone Corporation Vulnerability detection device, vulnerability detection method, and vulnerability detection program
KR101780233B1 (ko) 2016-04-26 2017-09-21 고려대학교 산학협력단 소프트웨어의 코드 클론 탐지 장치 및 방법
US10650150B1 (en) * 2017-02-28 2020-05-12 University Of South Florida Vulnerability life cycle exploitation timing modeling
US10389434B1 (en) * 2018-11-06 2019-08-20 Analog Devices, Inc. Bi-directional data isolator with dynamic communication

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101568224B1 (ko) * 2014-12-26 2015-11-11 고려대학교 산학협력단 소프트웨어 취약점 분석방법 및 분석장치
US20160188885A1 (en) * 2014-12-26 2016-06-30 Korea University Research And Business Foundation Software vulnerability analysis method and device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Jiyong Jang외2-"ReDeBug: Finding Unpatched Code Clones in Entire OS Distributions", 2012 IEEE Symposium on Security and Privacy, pp48-62,(2012.5.20.)*
SeulbaeKim외1-"Software systems at risk: An empirical study of cloned vulnerabilities in practice", Computers &Security Volume 77, pp720-736, (2018.2.28.)*

Also Published As

Publication number Publication date
KR20190136232A (ko) 2019-12-10
US11861014B2 (en) 2024-01-02
EP3779702A4 (en) 2021-05-12
EP3779702B1 (en) 2023-06-21
EP3779702A1 (en) 2021-02-17
US20210209232A1 (en) 2021-07-08
WO2019231122A1 (ko) 2019-12-05
CN112166419A (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
KR102505127B1 (ko) 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법
CN108763928B (zh) 一种开源软件漏洞分析方法、装置和存储介质
US9594797B2 (en) Data quality assessment
Guo et al. Validation and verification of computer forensic software tools—Searching Function
US9990501B2 (en) Diagnosing and tracking product vulnerabilities for telecommunication devices via a database
US20160202972A1 (en) System and method for checking open source usage
CA2907208C (en) System and method for developing business rules for decision engines
US20060130026A1 (en) Method and system for automatically identifying and marking subsets of localizable resources
US11036479B2 (en) Devices, systems, and methods of program identification, isolation, and profile attachment
CN110674360B (zh) 一种用于数据的溯源方法和系统
CN112395042A (zh) 一种面向业务容器镜像进行安全扫描的方法和装置
AU2019371545B2 (en) Management system, acquisition device and management method
CN113946366A (zh) 代码分析的方法、系统及计算设备
Iosif et al. A large-scale study on the security vulnerabilities of cloud deployments
KR102021383B1 (ko) 동적 분석과 정적 분석을 연계한 프로그램을 분석하기 위한 방법 및 장치
Di Angelo et al. Consolidation of ground truth sets for weakness detection in smart contracts
KR101742041B1 (ko) 개인정보를 보호하는 장치, 개인정보를 보호하는 방법 및 개인정보를 보호하는 프로그램을 저장하는 저장매체
CN117492803A (zh) 一种智能门锁pcba软件升级方法及系统
US10606577B1 (en) System and method for assuring customers during software deployment
KR100986998B1 (ko) 서버의 개인정보 진단 방법 및 장치
CN114175034A (zh) 验证信息生成系统、验证信息生成方法以及验证信息生成程序
CN114969759B (zh) 工业机器人系统的资产安全评估方法、装置、终端及介质
US20070038652A1 (en) Data driven cultural customization
US20230359992A1 (en) Risk assessment based on augmented software bill of materials
CN115712898A (zh) 源代码审计方法和装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right