소스코드 진단하기 #1 이클립스

 

 

이번 키사 교육에서 시큐어 코딩에 대한 교육이 있었는데

그중 개발자들이 개발을 하더라도 보안에 취약한 코드를 사용할 때 개발 단계에서

테스트를 통해 취약한 코드를 분석하는 법에 대해 설명해보고자한다.

 

구동환경 : Window7, Eclipse IDE 2019-03, Tomcat

 

1. Tomcat을 Jdk 환경으로 구동한다.

2. 디버깅후 접속 확인(http://localhost:8080/openeg/login.do)

 

3. 일단 먼저 findbug에 대해서 할거이기때문에 이클립스에서 findbug를 설치해보자.

Help -> Marketplace

 

 

4. spotbug 검색(findbug가 spotbug로 이름이 바뀌었다.)후 설치

5. 윈도우 -> 속성에 가서 findbug(spot bug 탭 가기) -> 설치만 확인.

 

6. https://find-sec-bugs.github.io/download.htm 가서 플러그인 설치 (jar파일)

 

7. 속성탭 스팟버그에서 플러그인 탭에서 해당 자르파일 추가후 설정

 

 

8. 해당진단서버(openeg) 우클릭 후 findbug(spotbug)에서 찾기 클릭

 

 

 

9. 결과확인하기 (findbug 전용창 생성)

 

 

 

 

 

 

스팟버그 전용 뷰어로보면 이런식으로 나온다.

 

 

 

*추가분 플러그인 설치후 원하는 플러그인을 설정해야 해당 플러그인을 사용한다.

 -윈도우 -> 속성 -> spotbug -> detector conf -> findsecuritybug

** 소스부분에 버그 마커가 생긴다. (해당 부분이 취약하다는거다)

 

 

 

#여담: 시큐어코딩은 커녕 코딩의 코도 모르는 내가 시큐어 코딩 진단을 이제 할 수 있는 것인가.

확실히 제일 좋은건 취약점의 위험 등급과 그리고 어떤 문제가 있는지(해당에는 널참조)

이부분만 집중적으로 봐도 되서 좋다. 그런데 이클립스만 되는거같아서 좀 다른 방법도 찾아봐야할거같다.