요약 메모리 안전 취약점은 공개된 소프트웨어 취약점 중 가장 널리 퍼진 유형입니다.
1,2,3이는 악의적인 행 위자가 일상적으로 악용하는 잘 알려진 일반적인 코딩 오류 클래스입니다.
이러한 취약점으로 인해 제 조업체는 지속적으로 보안 업데이트를 출시하고 고객은 지속적으로
패치를 수행하게 되므로 소프트 웨어 업계에 큰 문제가 됩니다.
이러한 취약점은 소프트웨어 제조업체가 역사적으로 분석, 패치 적용, 새 코드 게시,
개발자 교육 프로그램 투자 등 다양한 방법을 통해 취약점의 확산과 영향을 줄이려고 상 당한 리소스를
투자했음에도 불구하고 지속됩니다.
고객 조직은 번거로운 패치 관리 프로그램과 사고 대응 활동을 통해 이러한 취약점에 대응하기 위해
상당한 리소스를 소비합니다.
MSL(메모리 안전 프로그래밍 언어)은 메모리 안전 취약성을 제거할 수 있습니다.
따라서 MSL로 전 환하면 이러한 취약점을 줄이거나 영향을 최소화하기 위한 활동에 투자할 필요성이
크게 줄어들 것입니다.
또한 안전하지 않은 코드베이스를 MSL로 마이그레이션하기 위한 투자는 보다 안전한 제품의 형태로
장기적인 배당금을 지급하여 MSL로 전환하는 데 드는 초기 비용을 일부 부담하게 됩니다.
미국 사이버보안 및 인프라 보안국(CISA), 국 가안보국(NSA), 연방국 FBI(수사국) 및 호주, 캐나다, 영국, 뉴질랜드의
사이버 보안 당국* (이하 저작 기관으로 지칭)은 우리 집단의 일 부로 이 지침을 공동으로 개발했습니다.
안전한 설계 운동. 이 지침을 통해 저작 기관은 모든 소프트웨어 제조업체의 고위 임원에게 MSL을 구현하는 설계 및 개발 방식의 우선순위를 지정하여 고객 위험을 줄일 것을 촉구합니다.
또한 기관에서는 소프트웨어 제조업체가 제품의 메모리 안전 취약점을 제거하는 방법을 자세히 설명하는 메모리 안전 로드맵을 만 들고 게시할 것을 촉구합니다. 메모리 안전 로드맵을 게시함으로써 제조업체는 고객에게 보안 결과에 대한 소유권을 갖고, 급진적인 투명성을 수용하고, 보안 제품 개발에 대한 하향식 접근 방식을 취하고 있음을 고객에게 알릴 것입니다.
이는 핵심 Secure by Design 원칙입니다. Secure by Design 캠페인은 기술 제공업체가 설계 및 개발에 사이버 보안을 구축하여 고객의 보안 결과 에 대한 주인의식을 갖도록 촉구합니다.
보다 안전한 설계 ,제품 보안 , 그리고 사이버 보안 위험 균형 전환: 설계별 보안 및 기본 보안에 대한 원칙 및 접근 방식 . 이 지침은 제조업체에 메모리 안전 로드맵을 만들고 제품의 메모리 안전 취약성을 제거하기 위한 변경 사항을 구현하는 단계를 제공합니다.
이 취약점 클래스를 제거하는 것은 많은 부서의 참여가 필요할 수 있는 비즈니스 필수 사항으로 간주되어야 합니다. 저작 기관은 경영진이 로드맵 출판을 주도하고 필요에 따라 자원 재조정을 지원할 고위 직원을 공개적으로 식별하여 최고 수준에서 리더십을 발휘할 것을 촉구 합니다.