IT 项目的安全需求(一)— CLASP
IT项目需求中的有一项重要的需求就是安全需求,怎样制定安全需求,我会分两篇文章介绍两种通用的安全需求框架
第一种是CLASP
CLASP (Comprehensive, Lightweight Application Security Process) 提供一种组织良好的、结构化的方法,在软件开发生命周期的早期阶段进行安全需求的制定。
CLASP实际上是一组可以集成到任何软件开发过程中的项目活动。它被设计成既有效又容易采用。它提供了一些规定性的方法,活动,大量的安全资源,都可以是否有效的帮助我们在项目种开展这些活动。
下面这个表就是CLASP中描述的活动:
CLASP Best Practices |
CLASP Activities |
Related Project Roles |
1. Institute awareness programs |
Institute security awareness program |
Project manager |
2. Perform application assessments |
Perform security analysis of system requirements and design (threat modeling) |
Security auditor |
Perform source-level security review |
Owner: security auditor Key contributor: implementer, designer |
|
Identify, implement, and perform security tests |
Test analyst |
|
Verify security attributes of resources |
Tester |
|
Research and assess security posture of technology solutions |
Owner: designer Key contributor: component vendor |
|
3. Capture security requirements |
Identify global security policy |
Requirements specifier |
Identify resources and trust boundaries |
Owner: architect Key contributor: requirements specifier |
|
Identify user roles and resource capabilities |
Owner: architect Key contributor: requirements specifier |
|
Specify operational environment |
Owner: requirements specifier Key contributor: architect |
|
Detail misuse cases |
Owner: requirements specifier Key contributor: stakeholder |
|
Identify attack surface |
Designer |
|
Document security-relevant requirements |
Owner: requirements specifier Key contributor: architect |
|
4. Implement secure development practices |
Apply security principles to design |
Designer |
Annotate class designs with security properties |
Designer |
|
Implement and elaborate resource policies and security technologies |
Implementer |
|
Implement interface contracts |
Implementer |
|
Integrate security analysis into source management process |
Integrator |
|
Perform code signing |
Integrator |
|
5. Build vulnerability remediation procedures |
Manage security issue disclosure process |
Owner: project manager Key contributor: designer |
Address reported security issues |
Owner: designer Fault reporter |
|
6. Define and monitor metrics |
Monitor security metrics |
Project manager |
7. Publish operational security guidelines |
Specify database security configuration |
Database designer |
Build operational security guide |
Owner: integrator Key contributor: designer, architect, implementer |
IT 项目的安全需求(一)— CLASP相关推荐
- 「软件项目管理」软件项目范围计划——需求管理与任务分解
软件项目范围计划--需求管理与任务分解 序言 一.软件需求定义及层次 1.定义 2.层次 二.软件需求管理过程 1.管理过程 2.需求获取 3.需求分析 4.需求规格编写 5.需求验证 6.需求变更 ...
- 软件测试中需求分析谁去做的,软件项目在进入需求分析阶段,测试人员应该开始介入其中。 - 问答库...
问题: [判断题] 软件项目在进入需求分析阶段,测试人员应该开始介入其中. A . 正确 B . 错误 某男性患者,45岁.乡镇企业工人,因腹胀,尿少2周就诊.诉近年来体力下降较明显,易疲乏,时有右上 ...
- JeecgBoot轻松解决ERP项目复杂布局需求,JVXETable高性能行表格效果和项目案例
ERP项目表格布局一般都很复杂,要求大数据.高操作.高性能 ,这个用JeecgBoot如何解决呢? 行编辑无痕刷新,实现鼠标移开即时保存,其他用户数据实时更新并有日历翻牌效果和无痕刷新效果: 行编辑实 ...
- 团队项目第二周 - 需求规格说明书 - 天冷记得穿秋裤队
团队项目第二周 - 需求规格说明书 - 天冷记得穿秋裤队 队员姓名 学号 陈俊旭(组长) 3116004630 夏瓦克提·木合塔尔 3116004658 张婷(副组长) 3216004672 周方源 ...
- 项目开发 | 转载 | 需求评审与技术评审
转载自 知乎:项目经验 需求评审与技术评审 ,文字未改,格式有改动. 文章目录 0. 序 1. 需求评审 2. 技术评审 0. 序 做开发应该对需求评审,技术评审并不陌生. 但常有小伙伴抱怨,需求评审 ...
- 学生选课系统项目介绍及需求
学生选课系统项目介绍及需求 第一天 笔记: 数据库基础知识 主键:Primary Key ,在表中唯一确定该条记录的字段 外键:Foreign Key ,引用(参照)另外一个表中的主键字段 图书表 i ...
- 现代IT项目中的需求管理如何做?
现代IT项目中的需求管理如何做? 领测软件测试网 我们知道现代项目管理的六要素是:时间.成本.质量.组织.范围.客户满意度,实际上,要满足这六个要素,计划一个良好的需求分析是实现这六因素的前提,如果我 ...
- ERP项目售前需求调研提纲
ERP项目售前需求调研提纲 •企业地址及邮编 •企业电话及传真 •企业产品及主导产品型号 •企业产值及销售额 •员工总人数 •组织结构.画出一个组织流程图,列出各主要部门的人员,职责及部门经理姓名 • ...
- 挨踢项目求生法则-需求篇、战略篇以及设计篇
转自 张传波的博客 摘要: 知道什么是挨踢项目吧?什么!不知道?那IT项目知道了吧?为了不让客户踢.不让老板踢.项目组成员之间不互相踢,俺为大家分享一些减少被踢机会的心得体会.就算不能让项目成功,也至 ...
- 2022年湖北省新一代人工智能科技项目揭榜挂帅需求及限制条件
介绍湖北省新一代人工智能科技项目揭榜挂帅需求及限制条件,参照去年申报规定,2022年及2023年申报可参考了解,武汉市.黄石市.十堰市.宜昌市.襄阳市.鄂州市.荆门市.孝感市.荆州市.黄冈市.咸宁市. ...
最新文章
- gradle 指定springcloud 版本_SpringCloud微服务架构开发实战:实现服务注册与发现
- sql update 日期减6个月_【干货】SQL基础快速入门
- 计算机组成原理 参考,计算机组成原理参考练习
- Java聊天室2.0版本
- 编程加速服务器_英特尔:将可编程加速进行到底
- 中山纪念中学培训DAY1
- KINDEDITOR取值并写入数据库的操作
- 单表60亿记录等大数据场景的MySQL优化和运维之道
- 二级c语言准考证,考试准考证打印
- 日本公司为东京大学开设区块链课程捐款80万美元
- 图片保存为YUV格式
- mac os android 线刷,Mac系统下使用Fastboot线刷安卓设备
- Python-Bunch模式
- java LPT1_com1/lpt1/prn/nul 木马后门处理方法集合
- 直播技术——视频编解码(理论基础)
- TCP/UDP 区别
- REORG TABLE命令优化数据库性能
- Android 音视频开发实践系列-04-Android WebRTC推流到SRS服务器实现直播功能
- CCF-乘用车细分市场销量预测竞赛
- 【vbers】ibv_get_async_event()
热门文章
- 转移Package Cache文件夹,转移Windows Installer文件夹
- [转]一淘网是如何实现系统架构的
- python网络爬虫——robots协议
- 金士顿服务器内存条怎么看型号,【查看内存条参数】 内存条上的参数怎么看...
- 企业级地理数据库(2)创建并加载企业级地理数据库
- 9个设计师常用的高清图库 不敢配图? 这9个免版权图库牢记心中!
- html如何让标题居中,HTML怎么把标题居中
- 物联网技术与应用知识点总结
- Excel如何按照单元格背景颜色排序
- [转载]Java 2007:新年展望