요즘 SDL 즉 Security Development Lifecycle (보안 개발 절차)에 대해 부쩍 관심이 높습니다. 저도 Microsoft의 SDL에 대해 외부에서 소개할 기회가 많아지고 있습니다.

그 SDL 과정에서 사용할 수 있는 툴이 2가지 새로 나왔다는 반가운 소식입니다. BinScope Binary AnalyzerMiniFuzz File Fuzzer 이 두 툴이 지금 즉시 다운로드 가능합니다. 물론 무료로 사용할 수 있구요.

간단히 소개하자면 BinScope Binary Analyzer는 이미 컴파일된 바이너리 코드에 대해 분석을 가능케 해 주는 툴입니다. 소스 코드 차원에서는 Visual Studio에 포함된 PREFast를 사용해 분석하는 것이 진작부터 가능했고 바이너리 코드에 대해서는 이 BinScope를 사용하시면 좋습니다. 다양한 분석 가운데 최근 문제가 되었던 ATL 건에 대한 점검도 포함되었다는 점이 눈에 띕니다.

Visual Studio에 통합시켜 사용하면 간편합니다.

또 하나는 임의의 파일을 생성해 다양한 입력에 대한 검증을 해 주는 퍼징(fuzzing) 툴입니다. MiniFuzz File Fuzzer는 그 이름에서와 같이 간단한 퍼징 테스트가 가능하도록 도와줍니다. 독립적으로 실행할 수도 있고 Visual Studio에 통합해 사용할 수도 있네요. 몇 가지 옵션을 지정하는 것만으로 퍼징 테스트가 가능하게 되니 이제 많이 활용되기를 바랍니다.

소개 비디오도 여기서 보실 수 있네요. BinScope video, MiniFuzz video.