OWASP CLASP
OWASP CLASP (Comprehensive, Lightweight Application Security Process : 오와스프 클라스프)
- 소프트웨어 개발 생명주기의 초기 단계의 보안을 강화하기 위한 정형 프로세스
- 프로젝트 관리자(PM), 보안감사 책임자, 개발자, 설계자, 테스트 책임자 등 프로젝트 참여자에 대한 보안에 관한 지침 제공
- 프로그램 설계나 코딩 오류를 찾아내어 개선하기 위해 개발팀에 취약점 목록을 제공.
- 취약점 목록의 취약점들을 점검하기 위한 자동화된 정적 분석 툴 이용.
CLASP 의 검증 상호작용
- CLASP 프로세스는 View – Activity – Process Component 로 구성된 계층 구조.
- 5개의 검증을 제공.
- 개념검증 (Concept View)
- 역할 기반 검증 (Role-bases View)
- 활동 평가 검증 (Activity-Assessment View)
- 활동 구현 검증 (Activity-Implements View)
- 취약성 검증 (Vulnerability View)
개념검증 (Concept View)
-
CLASP Views : CLASP를 구성하고 있는 5개의 View 에 대한 개요 설명
-
CLASP Resources : CLASP 적용을 위해 사용되는 리소스 설명
-
Vulnerability User Cases : 취약점에 대한 유즈 케이스 사용법 설명
-
기존 개발 프로세스에 CLASP 적응성 정의
- 각 CLASP의 보안활동은 프로젝트에서의 역할(Role)에 따라 정의함.
- PM, 보안 감사, 개발자, 아키텍트, 테스터 등 프로젝트 참여자들에게 보안활동의 역할을 제공함.
-
CLASP 취약점 사전 정의
- 소프트웨어 개발에 악용되어 보안 문제로 이어질 수 있는 특정한 설계/코딩 오류를 방지 하기 위해 취약점
사전을 정의해 둠.
-
자동화 된 분석 도구
- CLASP 취약점 사전에 있는 정보의 대부분은 소스코드의 정적 분석 도구를 이용해 점검 할 수 있다.
역할 기반 검증 (Role-bases View)
-
CLASP 방법에 대한 역할(Role) 기반 소개를 포함.
-
각 역할을 가진 담당자들이 보안문제에 접근하는 방법과 기본적인 책임을 소개.
-
프로젝트에 참가하는 각 역할별 지침서를 명시한다.
- 프로젝트 관리자 보안 지침서
- 요구사항 지정자 보안 지침서
- 설계자 보안 지침서
- 아키텍트 보안 지침서
- 개발자 보안 지침서
- 테스트 책임자 보안 지침서
- 보안감사 책임자 보안 지침서
활동 평가 검증 (Activity-Assessment View)
-
CLASP 활동의 적절성을 평가하는데 도움이 되는 지침을 제공하여 프로젝트 관리자와 프로젝트 엔지니어링 팀의 부담을 줄이는 것.
-
각각의 활동에 대해 아래와 같은 정보를 제공한다.
-
별첨1) Security Activity와 관련된 Project Role 참고
별첨1) Security Activity와 관련된 Project Role.docx활동 구현 검증 (Activity-Implements View)
-
24개의 활동 평가 검증 기준의 세부사항.
-
아래와 같은 형식으로 제공함
취약성 검증 (Vulnerability View)
-
애플리케이션 소스코드에서 발생할 수 있는 보안 취약점들을 104개 타입으로 정의하고 있음.
-
별첨2) 104개 애플리케이션 취약점 참고
.