KEVISS

CCE, CVE, CWE 웹 취약점 진단이 가능한 웹 취약점 진단 포탈 서비스입니다.

게시판에 취약점 진단 요청을 하면 자동으로 진단 리포트(원인, 해결책)를 작성해주는 서비스입니다.

 

✔️구현 사항

• CCE 리포트 작성 후 알림
• CVE 리포트 작성 후 알림
• CWE 리포트 작성 후 알림
• 웹 취약점 리포트 작성 후 알림

✔️담당 역할

• CVE 진단 요청 API 비동기, 논 블로킹 처리를 통한 응답속도 개선
• 진단 완료 후 실시간 알림 기능 추가
• CCE 기능 테스트 (private cloud 테스트 베드 세팅)

✔️기술 스택

Spring Boot, Spring Cloud GW, Django, RabbitMQ, Celery

✔️기술 선정 이유

• Spring Cloud GW : MSA 서버 라우팅
• Django : SaaS를 위한 경량화 웹 프레임워크가 필요
• RabbitMQ : 비동기 논 블로킹 처리, SaaS화를 위해 경량화 메세지큐가 필요
• Celery : 메세지 큐에 담긴 요청 데이터 처리

✔️프로젝트 성과

-성과

• CVE 취약점 진단 리포트 응답속도 1분 이상에서 2초 이내로 줄임
• 1000개 이상의 CCE 취약점 진단기에서 ElasticSearch 인증 디폴트 라이브러리 변경으로 인한 CCE 취약점 관련 이슈 보고
• 프로젝트 내에서 발생했던 문제를 해결/극복해본 내용을 기술해주세요.
• 1분 이상 걸리는 CVE 취약점 진단기의 사용자 응답 대기 시간 줄이기
• 1주일 이내에 1000개 이상의 항목을 진단하는 CCE 취약점 진단기 이슈 최대한 찾아내기
• 프로젝트를 진행하며 배운 점 / 학습한 점을 기입해주세요.
• 내부 로직 및 최적화를 하지 않고 비동기 논 블로킹 처리만으로 응답 속도 개선할 수 있는 방법을 배웠습니다.
• 956개의 항목을 보고 테스트 베드 세팅을 하다보니, 보안 취약점에 대한 이해도가 올라갔습니다.
• QA 업무를 하면서 오픈소스를 활용할 때 공식 문서에서 무엇을 확인해야 하는지 알게되었습니다.

✔️프로젝트 리뷰

• 프로젝트를 수행하면서 아쉬웠던 점, 지금이라면 어떻게 더 보완하고 싶은지를 기술해주세요.
• CVE 진단 가능한 소스코드 용량 제한 (최대 500MB)