서드파티 코드 검증
Sandfly Security는 제품에 사용되는 모든 서드파티 라이브러리와 종속성에 대해 엄격한 보안 검증 프로세스를 적용합니다. 고객의 보안을 최우선으로 하는 우리의 검증 절차를 확인해보세요.
100%
코드 검증률
5단계
검증 프로세스
24시간
평균 검증 시간
99.9%
보안 정확도
검증 프로세스
1
소스 코드 검토
모든 서드파티 라이브러리와 종속성의 소스 코드를 철저히 검토합니다.
- 코드 품질 및 보안 취약점 분석
- 라이선스 호환성 확인
- 악성 코드 또는 백도어 탐지
- 개발자 신뢰성 평가
2
취약점 스캔
알려진 CVE 및 보안 취약점에 대한 자동화된 스캔을 수행합니다.
- NIST 취약점 데이터베이스 대조
- OWASP Top 10 보안 위험 요소 점검
- 종속성 트리 전체 스캔
- 실시간 위협 인텔리전스 적용
3
정적 분석
코드 구조와 패턴을 분석하여 잠재적 위험요소를 식별합니다.
- 데이터 흐름 분석
- 입력 유효성 검사 확인
- 메모리 안전성 점검
- 암호화 구현 검증
4
동적 테스트
격리된 환경에서 실제 동작을 테스트하여 런타임 보안을 확인합니다.
- 샌드박스 환경 실행 테스트
- 네트워크 통신 모니터링
- 파일 시스템 접근 추적
- 권한 상승 시도 탐지
5
문서화 및 승인
검증 결과를 문서화하고 사용 승인 여부를 결정합니다.
- 상세한 보안 평가 보고서 작성
- 위험도 등급 분류
- 사용 조건 및 제한사항 명시
- 정기 재검토 일정 수립
사용 도구 및 기술
SAST 도구
정적 애플리케이션 보안 테스트
- • SonarQube
- • Veracode
- • Checkmarx
- • Fortify
SCA 도구
소프트웨어 컴포넌트 분석
- • Snyk
- • WhiteSource
- • Black Duck
- • Sonatype
DAST 도구
동적 애플리케이션 보안 테스트
- • OWASP ZAP
- • Burp Suite
- • Nessus
- • Acunetix
취약점 데이터베이스
알려진 취약점 정보 수집
- • NVD
- • CVE
- • OWASP
- • CWE
위험도 평가 기준
위험도 낮음
보안 위험이 낮아 사용 권장
- 알려진 취약점 없음
- 활발한 커뮤니티 및 유지보수
- 투명한 개발 프로세스
- 정기적인 보안 업데이트
위험도 중간
주의사항을 준수하여 사용 가능
- 경미한 취약점 존재하나 패치 가능
- 제한적 사용 환경에서 안전
- 정기적인 모니터링 필요
- 대안 검토 권장
위험도 높음
사용 금지 또는 대안 필요
- 심각한 보안 취약점 존재
- 유지보수 중단된 프로젝트
- 악성 코드 또는 백도어 의심
- 라이선스 문제 발생
준수 표준 및 인증
ISO 27001
정보보안 관리시스템
SOC 2
서비스 조직 통제
NIST
사이버보안 프레임워크
OWASP
웹 애플리케이션 보안
투명성 보고서
현재 사용 중인 서드파티 라이브러리
- • OpenSSL 3.0.2 (암호화)
- • PostgreSQL 14.5 (데이터베이스)
- • Redis 7.0.4 (캐싱)
- • nginx 1.22.0 (웹 서버)
- • Docker 20.10.17 (컨테이너화)
최근 검증 완료 (2024년 3월)
- • 총 127개 라이브러리 검증
- • 3개 보안 업데이트 적용
- • 1개 라이브러리 대체 완료
- • 0개 심각한 취약점 발견
- • 100% 검증 통과율
보안 검증에 대한 문의
서드파티 코드 검증 프로세스에 대한 추가 정보가 필요하시거나 특정 라이브러리에 대한 검증 상태를 확인하고 싶으시면 연락해 주세요.