참석자
Will Hayes - Principal engineer in the SEI’s Software Solutions Division
(the Carnegie Mellon University Software Engineering Institute)
Carol Woody - Ph.D., Technical manager of CERT Cybersecurity Engineering Group
요약
오늘 우리가 이야기할 것은 소프트웨어 매트릭스와 보안 방법을 써서 품질 보증을 예측하는 것이다.
우리는 핵심 분야에 대해 개발 방법과 관행을 가지고 개발해 왔습니다. 보안 유지 요구 사항, 소프트웨어 위험 관리 및 공급망 위험 관리는 이러한 것의 세 가지 주요 영역이다. 많은 질적인 조치를 취하고 있지만 실제로 이 영역을 심각하게 관리하기 시작하는 정량적 메커니즘을 확립하는 것은 매우 어렵다.
보안 취약점과 품질 결함 사이의 연결을 알아낼 수 있었다. 주로 다양한 유형의 소프트웨어 전반에 걸쳐 결함 밀도를 추적하는 관점에서 “Capers Jones”가 많은 측정 기준을 가지고 있다.
결점의 1에서 5 %가 실제로 취약성이거나 취약성으로 간주되어야 한다. 매우 제한된 데이터 밖에 없는데 보안 데이터를 공유하려는 사람은 거의 없다. 이러한 데이터는 주로 운영 체제와 연결되어 있다. 이 데이터를 얻기 위해 실제로 상세한 자료를 가지고있는 약 100 개의 프로젝트 정도의 프로세스를 연구했다. 그 중에서 훌륭한 보안 및 안전 결과를 100 개 프로젝트 중 5 개 프로젝트를 식별 할 수 있었다.
중요한 보안 분석과 관행이 라이프 사이클 전반에 걸쳐 연계되어 있음을 확인했고, 초기에 취약점을 포착한 다음 시스템이 설치되기 훨씬 전에 오랫동안 해결하도록 했더니 매우 좋은 운영 결과를 얻을 수 있었다.
다소 적은 데이터 세트라도 최소한의 보안 분석 방법과 관행을 사용하여 높은 상관 관계를 증명할 수 있었고 라이프 사이클 전반에 걸친 취약성 해결이 가능했다.