이 연구는 안전 필수 조직에서 보안 증거 관리 실태를 조사하였다. 주요 결과는 다음과 같다:
보안 증거 관리 성숙도: 보안 증거 관리에 대한 인식은 있지만, 실제 관리 수준은 아직 미성숙한 편이다. 특히 대기업 내에서도 팀 간 편차가 크다.
보안 증거 생성: 위험 분석, 검증 활동, 정책 및 프로세스 문서 등 다양한 개발 활동에서 보안 증거가 생성된다. 이를 체계적으로 관리하는 것이 중요하다.
보안 증거 관리 프로세스: 증거 생성, 소유권, 수집, 유지보수, 거버넌스 등 다양한 책임이 여러 역할에 분산되어 있다. 중앙 집중식 또는 분산식 저장 및 접근 제어 방식이 사용되고 있다.
보안 증거 품질 관리: 조직 수준 및 제품 수준에서 다양한 활동을 통해 증거의 품질을 보장하려 노력하고 있다. 테스트 커버리지, 위험 분석 완성도 등의 지표를 활용한다.
자동화: 보안 증거 관리 작업의 자동화에 대한 요구가 있지만, 아직 실제 적용은 미흡한 편이다.
이 연구 결과는 안전 필수 조직이 보안 증거 관리 역량을 강화하는 데 도움이 될 것으로 기대된다.
翻譯成其他語言
從原文內容
arxiv.org
深入探究