일반적으로 소프트웨어 개발에서 보안 측정(Security Assessment)는 개발 결과물에 대하여 보안상으로 취약한 부분이 없는지 보안 전문가에 의해 검수 받는 일련의 과정을 의미합니다.
일반적으로 보안 측정을 위해서는 다음과 같은 어려움이 존재합니다.
- 시간적 한계 - 코드 보안 검수 기간동안 개발을 진행할 수 없습니다.
- 비용적 한계 - 보안 전문가를 고용하기 위해서는 많은 금전적 비용이 소모됩니다.
- 전문 지식 한계 - 분석 결과를 이해하기 위해서는 보안에 대한 전문 지식이 요구됩니다.
루니버스의 보안 측정 서비스(Security Assessment)는 위의 모든 문제점을 해결하는 안전하고 편리한 보안 서비스입니다. 개발자가 원하는 때에 빠르게 보안 검수를 진행할 수 있으며, 인력이 투입되어 진행을 해야하는 일반적인 보안 측정 서비스보다 훨씬 더 합리적인 가격으로 서비스를 이용할 수 있습니다. 패치 파일을 함께 제공하기 때문에 보안 지식이 없더라도 쉽게 발견된 취약점을 개발자가 수정할 수 있습니다.
루니버스 콘솔에서 보안 측정 서비스 이용하기


- 루니버스 콘솔로 이동
- 좌측 [Assessment List] 버튼을 클릭하여 Assessment List 페이지로 이동합니다.


- 우측 상단의 [Create Assessment]를 클릭하여 Create Assessment 화면으로 이동합니다.


- Security Assessment는 신청할 파일 형태에 따라 3개의 탭으로 구성되어 있습니다.
4-1. Past Code : 소스를 직접 입력하여 보안 측정 서비스를 받을 수 있습니다.
4-2. Upload Project : 솔리디티 소스 파일을 업로드 할 수 있습니다. (단일 파일 및 복수파일 모두 지원)
루니버스 Atom IDE Plug-in을 사용하여 보안 측정 서비스 이용하기
루니버스 Atom IDE Plug-in 설치에 관하여는 Atom IDE로 Smart Contract 개발하기 에서 자세한 내용 확인하실 수 있습니다.


- Atom Editor상에서 우클릭시 나타나는 컨텍스트 메뉴상에서 'Create Audit'을 클릭합니다.


- 보안 측정 서비스가 끝나면 검사 결과가 표시됩니다. 측정 결과에는 보안 수준(Security Level)이 표시되고, 취약점이 등급에 따라 Critical, High, Medium, Low, Notes로 표시됩니다.
- 'Detail Report' 버튼을 클릭하면 루니버스 콘솔로 이동하여 상세 보고서를 조회할 수 있습니다.
보안 측정 서비스 보고서 확인하기


- 보안 측정 서비스 목록
- 보안 측정 리포트


- 보안 측정된 개별 파일
- 실행 파일 취약도 평가 결과


- Security Audit 요청 시간
- 취약점 개수 요약: 위험도 순위는 Critical > High > Medium > Low > Note
- 취약점 요약
- 취약점 ID 및 분석기 이름
- 취약점이 있는 코드 라인


- 취약점 코드 Viewer
- 취약점 위험도 Level
- 분석기 이름
- 취약점 상세 설명서
Updated about a year ago