일반적으로 소프트웨어 개발에서 보안 측정(Security Assessment)는 개발 결과물에 대하여 보안상으로 취약한 부분이 없는지 보안 전문가에 의해 검수 받는 일련의 과정을 의미합니다.

일반적으로 보안 측정을 위해서는 다음과 같은 어려움이 존재합니다.

• 시간적 한계 - 코드 보안 검수 기간동안 개발을 진행할 수 없습니다.
• 정책적 한계 - 코드 유출 등의 우려가 존재합니다.
• 비용적 한계 - 보안 전문가를 고용하기 위해서는 많은 금전적 비용이 소모됩니다.
• 전문 지식 한계 - 분석 결과를 이해하기 위해서는 보안에 대한 전문 지식이 요구됩니다.

루니버스의 보안 측정 서비스(Security Assessment)는 위의 모든 문제점을 해결하는 편리하면서도 안전한 보안 서비스입니다. 개발자가 원하는 때에 빠르게 보안 검수를 진행할 수 있으며, 코드 유출을 방지하기 위해 암호화 기능을 제공합니다. 또한, 인력이 투입되어 진행을 해야하는 일반적인 보안 측정 서비스보다 훨씬 더 합리적인 가격으로 서비스를 이용할 수 있습니다. 패치 파일을 함께 제공하기 때문에 보안 지식이 없더라도 쉽게 발견된 취약점을 개발자가 수정할 수 있습니다.

1. 루니버스 콘솔의 상단 메뉴에서 보안 측정 서비스(Security Assessment)를 클릭합니다.
2. 좌측 [Assessment List] 버튼을 클릭하여 Assessment List 페이지로 이동합니다.

3. 우측 상단의 [Create Assessment]를 클릭하여 Create Assessment 화면으로 이동합니다.

4. Security Assessment는 신청할 파일 형태에 따라 3개의 탭으로 구성되어 있습니다.

   4-1. Past Code : 소스를 직접 입력하여 보안 측정 서비스를 받을 수 있습니다.
   4-2. Upload Project : 솔리디티 소스 파일을 업로드 할 수 있습니다. (단일 파일 및 복수파일 모두 지원)
   4-3. Upload Hashed Project : 소스코드를 암호화하여 올릴 수 있습니다.

루니버스 Atom IDE Plug-in 설치에 관하여는 Atom IDE로 Smart Contract 개발하기 에서 자세한 내용 확인하실 수 있습니다.

1. Atom Editor상에서 우클릭시 나타나는 컨텍스트 메뉴상에서 'Create Audit'을 클릭합니다.

2. 보안 측정 서비스가 끝나면 검사 결과가 표시됩니다. 측정 결과에는 보안 수준(Security Level)이 표시되고, 취약점이 등급에 따라 Critical, High, Medium, Low, Notes로 표시됩니다.
3. 'Detail Report' 버튼을 클릭하면 루니버스 콘솔로 이동하여 상세 보고서를 조회할 수 있습니다.

1. Assessment List 화면에는 현재까지 수행한 보안 측정 서비스의 보고서 목록이 표시됩니다.
2. Security Assessment 보고서를 확인하고 싶은 항목의 [Report] 버튼을 선택하면 해당 보고서 화면으로 이동합니다.

3. 보고서 화면에는 Security Assessment 를 실행한 파일 목록과 해당 컨트랙트의 보안 수준(Security Level) 이 표시되어 있으며, 파일에서 발견된 취약점수를 등급별로 표시한 리스트를 확인할 수 있습니다.
4. 취약점이 발견된 파일을 선택하면 취약점이 발견된 파일로 이동하여 상세 내역을 확인할 수 있습니다.

(1) Issue Type : 발견된 취약점의 CWE 번호가 표시됩니다. 클릭하면 CWE 상세 정보 조회 페이지로 이동합니다.
(2) Top 3 Vulnerability : 이 파일에서 발견된 취약점을 심각도 수준이 높은 순으로 3개를 표시합니다.
(3) Security Level : 화면 오른쪽에 Security Level 이 표시됩니다.
(4) Security Level 하단에 파일에서 발견된 취약점 목록이 표시됩니다. 취약점 목록에서 취약점을 클릭하면 취약점 설명 부분에 해당 취약점에 대한 상세 설명을 확인할 수 있습니다.
(5) 취약점 설명 : 현재 선택된 취약점에 대한 상세 정보를 출력합니다.

1. [Create Assessment] 페이지에서 [Upload Hashed Project]를 클릭하여 [#for MAC] 암호화 프로그램을 다운받습니다. 다운받은 파일은 sooho.pkg로 저장됩니다.
2. sooho.pkg를 클릭하여 프로그램을 설치합니다.
3. Mac용 터미널 프로그램을 실행시킨 후 sooho 커맨드를 실행시킵니다. 아래와 같이 명령어를 실행하면 간단한 사용법을 볼 수 있습니다.

$  sooho
CLI tool to interact with SOOHO

VERSION
  @sooho/cli/0.3.3 darwin-x64 node-v10.12.0

USAGE
  $ sooho [COMMAND]

COMMANDS
  audit    Audit smart contract
  encrypt  Encrypt source code into hash file
  help     display help for sooho
  update   update the sooho CLI

4. 스마트 컨트랙트 파일이 있는 디렉토리로 이동하여 파일 목록을 확인해봅니다.

$ ls
MintableNonFungibleToken.sol	contracts


$ ls contracts/
Augur.sol		      	IControlled.sol			factories			reporting
Controlled.sol			IController.sol			legacy_reputation		trading
Controller.sol			LegacyReputationToken.sol	libraries

5. 아래와 같이 실행하여 MintableNonFungibleToken.aegis 파일을 만듭니다.

$ sooho encrypt MintableNonFungibleToken.sol -a -s
✔ Parse files
✔ MintableNonFungibleToken.aegis has been created

6. 디렉토리 전체를 암호화하고 싶은 경우 파일 경로에 디렉토리를 입력합니다.

$ sooho encrypt contracts -a -s
✔ Parse files
✔ contracts.aegis has been created

7. 루니버스 콘솔에서 암호화된 파일을 업로드 합니다.

   • 콘솔에서 암호화된 파일을 업로드 하는 방법은 본 페이지 위쪽의 [루니버스 콘솔에서 보안 측정 서비스 이용하기]를 참고해 주시기 바랍니다.