[소프트웨어 개발보안 방법론] CLASP

이미 운영중인 시스템에 적용하기 적당한 SW개발방법론 CLASP은 활동중심,

역할 기반의 프로세스로 구성된 집합체다.

개념 관점에서는 각 개발 프로세스를 계획하고 평가하는 단계에서, CLASP 프로세스 컴포넌트들의 상호작용과 취약성 관점을 통해서, 어떻게 역할기반 관점에 적용하는지를 기술한다.

역할기반 관점에서는 프로젝트팀의 각 구성원이 24개의 보안과 관련된 CLASP 활동들에 대해 각 역할을 정의한다.

활동평가 관점에서는 CLASP의 보안관련 활동들에 대해서 타당성을 평가할 수 있도록 도와줌으로써, 프로젝트 매니저와 프로세스 엔지니어링 팀의 부담을 덜어주는 것이다.

활동구현 관점에서는 활동 평가단계에서 선택한 24가지 보안관련 CLASP의 활동들을 수행한다.

취약성 관점에서는 애플리케이션 소스코드에서 보안과 관련된 취약성을 5개의 카테고리(범위 및 타입 에러, 환경 문제, 동기화 및 타이밍 에러, 프로토콜 에러, 일반 논리 에러)로 분류하고 각 카테고리별로 해당하는 취약성에 대해서 취약성의 발견시기, 취약성의 결과, 위험평가, 공격을 위한 자원, 회피와 완화방법, 침투 가능성, 영향 받는 프로그래밍 언어와 운영체제 등을 핵심적으로 설명한다.

참고: https://www.owasp.org/index.php/Category:OWASP_CLASP_Project