보안 테스트
Blackboard에서는 Blackboard와 고객의 기대치를 모두 충족시키기 위해 코드 수준(정적 분석) 및 애플리케이션 수준(동적 분석)에서 지속적인 내부 보안 테스트를 수행합니다. 그뿐만 아니라 주기적으로 애플리케이션을 새로운 시각으로 판단하기 위해 Blackboard는 타사 보안 벤더의 보안 침투 테스트를 실시합니다. 확인된 모든 문제는 수리 일정이 빠르게 정해집니다.
정적 애플리케이션 보안 테스트Blackboard에서는 오픈 소스 및 상업용 정적 분석 스캐너를 활용하여 Blackboard Learn의 소스 코드를 지속적으로 평가합니다. 또한 시스템이 빌드 환경과 통합되어 발전할 때 이러한 도구를 통해 소스 코드의 잠재적인 취약점을 확인할 수 있으며, 보안 취약점에 대한 자동화된 소스 코드 분석을 수동 코드 검토와 결합합니다.
동적 애플리케이션 보안 테스트Blackboard에서는 오픈 소스 및 상업용 동적 분석 스캐너를 활용하여 Blackboard Learn 애플리케이션을 지속적으로 평가합니다. 자동화된 보안 스캐너는 최종 사용자의 관점에서 일반적인 웹 애플리케이션의 취약점을 테스트합니다.
수동 침투 테스트정적 및 동적 애플리케이션 보안 도구가 모든 보안 문제를 감지할 수는 없습니다. Blackboard에서는 보안 위험을 더 완화하기 위해 수동 침투 테스트를 수행하여 보다 복잡한 보안 취약점 및 부적절한 권한 부여와 같은 비즈니스 논리 문제를 확인합니다.
보안 업데이트 및 공지
Blackboard에서는 Blackboard 제품에서 확인된 보안 취약점을 적절한 시기에 확인하고 커뮤니케이션하며 해결하기 위해 최선을 다하고 있으며, Behind the Blackboard를 통해 보안 패치 및 공지를 게시합니다.
보안 공지는 다음과 같은 정보와 함께 릴리즈됩니다.
- 공지 ID - 기술 자료 조회용
- 제목 - 영향을 받는 영역에 대한 간단한 설명
- 발행일
- 심각도
공지 다음에는 보안 취약점의 특성, 시스템이 어떤 영향을 받을 수 있는지에 대해 설명하는 기능적인 문제 개요, 영향을 받는 제품 버전의 목록, 검색 설명 및 적용 가능한 패치의 링크가 들어 있는 솔루션의 설명을 자세히 다룬 취약점 개요가 나옵니다. Blackboard에서는 또한 알려진 악용 또는 악의적인 보안 취약점 사용을 추적하고 이에 대해 고객에게 조언합니다. 완화 및 해결 섹션에는 고객이 수행할 수 있는 완화 조치 또는 해결책을 사용할 수 있는 경우에 대해 설명되어 있습니다. 공지에 수정 사항이 여러 개 있는 경우 업데이트에 대한 간단한 요약이 제공됩니다.
보안 취약점 점수 매기기
Blackboard에서는 CVSSv2(Common Vulnerability Scoring System Version 2.0)의 산업 표준을 지침으로 따릅니다. 고객은 Blackboard Learn에서 발견되는 보안 문제의 영향을 분류하는 데 도움이 되는 지침으로 Blackboard의 심각도 등급을 사용할 수 있습니다. 모든 취약점이 모든 사용자에게 동일한 영향을 미치는 것은 아니므로 이는 평균 사용량을 기준으로 합니다. 예를 들어, 고객이 영향을 받는 모듈을 활성화하지 않았거나 모듈을 사용할 때 다른 고객만큼 중요한 정보가 사용되지 않을 수 있습니다.
입력 유효성 검사 필터
입력 유효성 검사 필터는 Blackboard Learn을 보호하기 위해 구성 가능한 규칙과 함께 첫 번째 방어선 역할을 합니다. 어떤 면에서 Blackboard Learn을 위한 방화벽과 같은 이 필터를 사용하면 기본 규칙 집합을 통해 데이터를 검사함으로써 수신되는 사용자 요청이 안전한지 확인할 수 있습니다.
