주석문 안에 포함된 시스템 주요정보
정의
소프트웨어 개발자가 편의를 위해서 주석문에 패스워드를 적어둔 경우, 소프트웨어가 완성된 후에는 그것을 제거하는 것이 매우 어렵게 된다. 만약 공격자가 소스코드에 접근할 수 있다면 시스템에 손쉽게 침입할 수 있다.
안전한 코딩기법
주석에는 아이디, 패스워드 등 보안과 관련된 내용을 기입하지 않는다.
코드예제
주석문에 중요정보(아이디, 패스워드 등)를 지우지 않는 경우 노출 보안약점이 발생합니다. 프로그램 개발 시 주석문에 포함된 주요정보는 꼭 삭제해야 합니다.
#주석문 안에 포함된 시스템 주요정보(안전X)
def user_login_bad(id, passwd):
# 주석문에 포함된 중요 시스템의 인증 정보
# id = admin
# passwd = passw0rd
result = login(id, passwd)
return result#주석문 안에 포함된 시스템 주요정보(안전O)
def user_login_good(id, passwd):
# 주석문에 포함된 중요정보는 삭제
result = login(id, passwd)
return result
보안기능/주석문 안에 포함된 시스템 주요정보
[참고문헌] Python 시큐어코딩 가이드(2022) / KISA(한국인터넷진흥원)