Key points are not available for this paper at this time.
개발 주기 후반에 발견된 보안 취약점은 초기 발견된 것보다 수정 비용이 더 많이 듭니다. 따라서 소프트웨어 개발자는 가능한 한 빨리 취약점을 발견하기 위해 노력해야 합니다. 불행히도, 코드베이스의 대규모와 개발자의 전문성 부족으로 인해 소프트웨어 취약점을 발견하는 것이 어려울 수 있습니다. 이러한 어려움을 덜기 위해, 개발자들이 취약점 발견에 도움을 줄 수 있는 여러 가지 유형의 기술이 고안되었습니다. 이 연구의 목표는 취약점 발견 기술의 효과를 비교하여 취약점 탐지를 개선하고 이러한 기술을 통해 취약점 발견을 개선하기 위한 구체적인 권장 사항을 제공하는 것입니다. 우리는 네 가지 발견 기술: 체계적 및 탐색적 수동 침투 테스트, 정적 분석, 자동화된 침투 테스트를 비교하기 위해 두 개의 전자 건강 기록 시스템에 대한 사례 연구를 수행했습니다. 우리의 사례 연구에서는 단일 기술이 모든 유형의 취약점을 발견하지 못했다는 경험적 증거를 발견했습니다. 우리는 여러 발견 기술로는 거의 모든 개별 취약점을 발견하지 못했습니다. 또한, 체계적인 수동 침투 테스트가 가장 많은 설계 결함을 발견했으며, 정적 분석이 가장 많은 구현 버그를 발견했다는 것을 알게 되었습니다. 마지막으로, 발견된 취약점 수 기준으로 가장 효과적인 취약점 발견 기술은 자동화된 침투 테스트였습니다. 이 결과는 취약점 발견을 수행할 시간이 제한된 경우, 구현 버그를 발견하기 위해 자동화된 침투 테스트를 수행하고, 설계 결함을 발견하기 위해 체계적인 수동 침투 테스트를 수행하는 것이 좋다는 것을 시사합니다.
Austin et al. (Thu,)은 이 질문에 대해 연구했습니다.