[소프트웨어 개발보안 방법론] Seven TocuhPoint

실무적으로 검증된 방법론 중 하나로 보안 강화 기법(build security in)을 지원하는 Seven-Touchpoint

SDLC 내의 개발 단계와 이와 관련된 7 개의 보안 강화 활동을 정의.

o 코드 검토 (code review)

o 아키텍처 위험 분석 (architectural risk analysis)

o 침투 테스트 (penetration testing)

o 위험기반 보안 테스트 (risk-based security tests)

o 악용 사례 (abuse cases)

o 보안 요구 (security requirement)

o 보안 운영 (security operation)

요구사항과 유즈케이스 단계

오용사례와 위험분석을 통해서 보안요구사항에 대한 정의와 명세를 하고, 오용 사례에 대한 정의 및 케이스 예를 작성한다.

구조설계 단계

공격저항 분석(Attack resistance analysis), 모호성 분석, 허점 분석 등을 통해 위험요소를 분석한다. 

테스트 계획 단계

공격 패턴, 위험 분석 결과, 악용 사례를 기반으로 위험기반 보안테스트를 수행한다.

코드 단계

구현 오류(implementation bug)에 중점을 두며 특히 소스코드에 존재하는 취약성을 발견할 목적으로 수행되는 코드 정적 분석에 중심을 둔다.

테스트, 테스트 결과 단계

위험 분석 및 침투 테스팅을 수행한다.  침투 시험을 통해 실제 작동 환경에서의 필드 소프트웨어에 대한 좋은 이해를 제공한다.

현장과의 피드백 단계

보안 운영을 통해 얻은 공격자와 공격 도구에 대한 경험과 지식은 개발자에게 다시 피드백  한다.