CLASP

From IT Wiki
Comprehensive, Lightweight Application Security Process
소프트웨어 개발 생명주기(SDLC) 초기단계에 보안강화를 목적으로 하는 정형화된 프로세스로써, 활동중심·역할기반의 프로세스로 구성된 집합체
  • 이미 운영중인 시스템에 적용하기 적합[1]

5가지 관점[edit | edit source]

  • 개념 관점(Concepts View)
    • CLASP의 구조와 CLASP 프로세스 구성요소 간의 종속성을 제공하고, CLASP 프로세스 컴포넌트들의 상호작용 방법과 취약성 관점을 통해서 어떻게 역할기반 관점에 적용하는 방법을 기술
  • 역할기반 관점(Role‐Based View)
    • 프로젝트에서 24개의 보안관련 CLASP 활동들에 대한 각 역할을 창출하고, 팀의 구성원이 각자 맡게될 역할들을 정의하여 활동평가 관점, 활동구현 관점, 취약성 관점에서 사용
  • 활동평가 관점(Activity‐Assessment View)
    • 활동구현 관점에서의 적합성과 관련하여 보안관련 CLASP 활동들에 대해 타당성을 평가할 수 있도록 도와줌으로써, 프로젝트 매니저와 프로세스 엔지니어링팀의 부담 완화
  • 활동구현 관점(Acitivity‐Implementation View)
    • 활동평가 관점에서 선택한 24가지 보안관련 CLASP 활동들을 수행
  • 취약성 관점(Vulnerability View)
    • 문제 타입에 대한 솔루션을 활동평가 관점과 활동구현 관점으로 통합
  1. KISA 소프트웨어 개발 보안 가이드