일반적으로 소프트웨어 개발에서 보안 측정(Security Assessment)는 개발 결과물에 대하여 보안상으로 취약한 부분이 없는지 보안 전문가에 의해 검수 받는 일련의 과정을 의미합니다.
일반적으로 보안 측정을 위해서는 다음과 같은 어려움이 존재합니다.
- 시간적 한계 - 코드 보안 검수 기간동안 개발을 진행할 수 없습니다.
- 정책적 한계 - 코드 유출 등의 우려가 존재합니다.
- 비용적 한계 - 보안 전문가를 고용하기 위해서는 많은 금전적 비용이 소모됩니다.
- 전문 지식 한계 - 분석 결과를 이해하기 위해서는 보안에 대한 전문 지식이 요구됩니다.
루니버스의 보안 측정 서비스(Security Assessment)는 위의 모든 문제점을 해결하는 편리하면서도 안전한 보안 서비스입니다. 개발자가 원하는 때에 빠르게 보안 검수를 진행할 수 있으며, 코드 유출을 방지하기 위해 암호화 기능을 제공합니다. 또한, 인력이 투입되어 진행을 해야하는 일반적인 보안 측정 서비스보다 훨씬 더 합리적인 가격으로 서비스를 이용할 수 있습니다. 패치 파일을 함께 제공하기 때문에 보안 지식이 없더라도 쉽게 발견된 취약점을 개발자가 수정할 수 있습니다.
- 루니버스 콘솔의 상단 메뉴에서 보안 측정 서비스(Security Assessment)를 클릭합니다.
- 좌측 [Assessment List] 버튼을 클릭하여 Assessment List 페이지로 이동합니다.
- 우측 상단의 [Create Assessment]를 클릭하여 Create Assessment 화면으로 이동합니다.
- Security Assessment는 신청할 파일 형태에 따라 3개의 탭으로 구성되어 있습니다.
4-1. Past Code : 소스를 직접 입력하여 보안 측정 서비스를 받을 수 있습니다.
4-2. Upload Project : 솔리디티 소스 파일을 업로드 할 수 있습니다. (단일 파일 및 복수파일 모두 지원)
4-3. Upload Hashed Project : 소스코드를 암호화하여 올릴 수 있습니다.
솔리디티 소스 코드를 Hashed Project 형식으로 올리기 위해 암호화 프로그램을 다운받아 주세요
- MAC, Windows 32bit, Windows 64bit 중 운영체제에 맞는 프로그램을 다운받아 설치합니다.
- 암호화 프로그램을 이용해서 스마트 컨트렉트 파일들을 압축합니다.
- [Click to select upload .aegis file]을 클릭하여 압축된 파일을 업로드 합니다.
- Summit 버튼을 클릭해서 Security Assessment를 실행합니다.
루니버스 Atom IDE Plug-in 설치에 관하여는 Atom IDE로 Smart Contract 개발하기 에서 자세한 내용 확인하실 수 있습니다.
- Atom Editor상에서 우클릭시 나타나는 컨텍스트 메뉴상에서 'Create Audit'을 클릭합니다.
- 보안 측정 서비스가 끝나면 검사 결과가 표시됩니다. 측정 결과에는 보안 수준(Security Level)이 표시되고, 취약점이 등급에 따라 Critical, High, Medium, Low, Notes로 표시됩니다.
- 'Detail Report' 버튼을 클릭하면 루니버스 콘솔로 이동하여 상세 보고서를 조회할 수 있습니다.
- Assessment List 화면에는 현재까지 수행한 보안 측정 서비스의 보고서 목록이 표시됩니다.
- Security Assessment 보고서를 확인하고 싶은 항목의 [Report] 버튼을 선택하면 해당 보고서 화면으로 이동합니다.
- 보고서 화면에는 Security Assessment 를 실행한 파일 목록과 해당 컨트랙트의 보안 수준(Security Level) 이 표시되어 있으며, 파일에서 발견된 취약점수를 등급별로 표시한 리스트를 확인할 수 있습니다.
- 취약점이 발견된 파일을 선택하면 취약점이 발견된 파일로 이동하여 상세 내역을 확인할 수 있습니다.
(1) Issue Type : 발견된 취약점의 CWE 번호가 표시됩니다. 클릭하면 CWE 상세 정보 조회 페이지로 이동합니다.
(2) Top 3 Vulnerability : 이 파일에서 발견된 취약점을 심각도 수준이 높은 순으로 3개를 표시합니다.
(3) Security Level : 화면 오른쪽에 Security Level 이 표시됩니다.
(4) Security Level 하단에 파일에서 발견된 취약점 목록이 표시됩니다. 취약점 목록에서 취약점을 클릭하면 취약점 설명 부분에 해당 취약점에 대한 상세 설명을 확인할 수 있습니다.
(5) 취약점 설명 : 현재 선택된 취약점에 대한 상세 정보를 출력합니다.
- [Create Assessment] 페이지에서 [Upload Hashed Project]를 클릭하여 [#for MAC] 암호화 프로그램을 다운받습니다. 다운받은 파일은 sooho.pkg로 저장됩니다.
- sooho.pkg를 클릭하여 프로그램을 설치합니다.
- Mac용 터미널 프로그램을 실행시킨 후 sooho 커맨드를 실행시킵니다. 아래와 같이 명령어를 실행하면 간단한 사용법을 볼 수 있습니다.
$ sooho
CLI tool to interact with SOOHO
VERSION
@sooho/cli/0.3.3 darwin-x64 node-v10.12.0
USAGE
$ sooho [COMMAND]
COMMANDS
audit Audit smart contract
encrypt Encrypt source code into hash file
help display help for sooho
update update the sooho CLI
- 스마트 컨트랙트 파일이 있는 디렉토리로 이동하여 파일 목록을 확인해봅니다.
$ ls
MintableNonFungibleToken.sol contracts
$ ls contracts/
Augur.sol IControlled.sol factories reporting
Controlled.sol IController.sol legacy_reputation trading
Controller.sol LegacyReputationToken.sol libraries
- 아래와 같이 실행하여 MintableNonFungibleToken.aegis 파일을 만듭니다.
$ sooho encrypt MintableNonFungibleToken.sol -a -s
✔ Parse files
✔ MintableNonFungibleToken.aegis has been created
- 디렉토리 전체를 암호화하고 싶은 경우 파일 경로에 디렉토리를 입력합니다.
$ sooho encrypt contracts -a -s
✔ Parse files
✔ contracts.aegis has been created
- 루니버스 콘솔에서 암호화된 파일을 업로드 합니다.
- 콘솔에서 암호화된 파일을 업로드 하는 방법은 본 페이지 위쪽의 [루니버스 콘솔에서 보안 측정 서비스 이용하기]를 참고해 주시기 바랍니다.