티스토리 뷰
전임 관리자와 전임자가 하던 과제를 이어 받은 뒤. 어떻게든 개발 후 검수하기 전 지적사항을 해결해가는 과정을 간략하게 기록하고자 한다. 나와 같이 외롭게 문제를 해결해가는 이름 모를 1인 개발자 분들에게 도움이 됬으면 한다.
내가 욕받이로 전락하게 만드는 전자정부프레임워크에도 서운함을 느끼며 기록한다.
1. 취약점, 시큐어 코딩 점검 관련.
- 전자정부프레임워크(이하 전정프)에서 PMD를 제공한다. 전정프의 소개 란에도 써 있듯이 국가적 표준화를 한다고 하니 PMD를 사용하면 되겠거니 했다. 조치한 보고서를 제출한 뒤엔 수치스러운 말을 면전에 듣게 됐다.
- 대부분의 정부 SW 개발은 행정안전부 지침을 따른다고 보면 될것 같다. 적어도 지금 내 경우는 그렇다.
- 2016년 고지된 공개SW를 활용한 소프트웨어 개발보안 점검가이드를 보면 5페이지에 CC인증된 도구를 사용하라고 명시 되있다. IT보안인증사무국에 가서 검색하면 CC인증된 제품 목록을 볼 수 있다.
[2018년 10월 18일 기준 CC인증된 소스코드취약점 분석 툴]
2. 웹표준 분석
- 전정프에서 KW3C 2.0을 제공한다. 한번 크게 데어봤으니, 배포 주체인 한국정보진흥원(NIA)에 가서 찾아봤으나 해당 프로그램을 찾을 수 없었다. 구글 검색 'site:http://www.nia.or.kr/' 도 이용해 봤으나 홈페이지 자체에 관련 내용이 없는 것으로 보였다.
- 혹시 몰라 행안부에서 법률 검색을 하니 '행정안전부 제2017-26호'에 보면 'W3C Markup Validator'을 사용하라고 되어있었고, 검색하면 바로 사이트가 뜬다. 통합검사기 Unicorn을 사용하면 HTML과 CSS를 모두 분석해준다. 불편한점은 페이지를 일일히 들어가서 검사해야하는것으로 보인다.
3. 공무원 공인인증서 로그인 GPKI 기능 삽입.
과학기술정보통신부는 공인인증서 제도 폐지를 주요 내용으로 하는 ‘전자서명법’ 개정안을 마련해 3월30일부터 40일간 일반국민과 이해관계자 등을 대상으로 의견수렴을 실시한다고 밝혔다. 정부는 지난 1월22일 규제혁신토론회에서 공인인증서 제도 폐지 방침을 발표한 바 있다.
원문보기:
http://www.hani.co.kr/arti/economy/it/838222.html#csidx71b65a1f8efb706b393b495c150983b
- 국가 제도를 가장 먼저 시행해야 하는 발주처에서 왜 GPKI를 넣으라는지 모르겠는데, 일단 하라니 전정프 홈페이지에서 코드를 가져와 작성했다. 그러나 해당 패키지를 찾을 수 없었다. 전정프의 쉽게 읽어지지 않는 위키 글을 읽어가며 행정전자서명 인증센터에 접속해 jar 파일을 찾아봤다. 도저히 찾을 수 없었다.
- 검색을 해도 설치 설명서만 자꾸 나오고, 설명서에는 '어떻게 받아가라'는 얘기가 쓰여있지 않았다.
- 다른 게시판을 보다가 우연히 '표준API신청서'를 발견했다. 해당 신청서를 담당공무원이 직접 작성해 신청해야 JAR 파일을 받을 수 있다. 서버 ip와 같은 정보가 들어가기 때문에 배포 이전에는 API 테스트 조차 할 수 없다.
+ 아직 배포전 작업이 진행중이기 때문에 지속적으로 추가.
- 목디스크가 심하게 와서 프로젝트 드랍.
'Java > Spring' 카테고리의 다른 글
| Spring Boot 에서 JOOQ 사용시, 구동이 느려지는 현상 (0) | 2019.03.29 |
|---|---|
| JavaFX 11 + Spring Boot 2.0.x + gradle 초기 환경 (0) | 2019.02.14 |
| @AllArgsConstructor와 @RequiredArgsConstructor 차이 (0) | 2018.07.03 |
| Mybatis에서 Enum 타입이 포함된 객체를 foreach 할때 에러 (0) | 2018.07.02 |
| Spring boot JSP 에러 페이지 출력 (0) | 2018.06.28 |