IT 项目的安全需求（一）

IT项目需求中的有一项重要的需求就是安全需求，怎样制定安全需求，我会分两篇文章介绍两种通用的安全需求框架

第一种是CLASP

CLASP (Comprehensive, Lightweight Application Security Process) 提供一种组织良好的、结构化的方法，在软件开发生命周期的早期阶段进行安全需求的制定。

CLASP实际上是一组可以集成到任何软件开发过程中的项目活动。它被设计成既有效又容易采用。它提供了一些规定性的方法，活动，大量的安全资源，都可以是否有效的帮助我们在项目种开展这些活动。

下面这个表就是CLASP中描述的活动：

CLASP Best Practices	CLASP Activities	Related Project Roles
1. Institute awareness programs	Institute security awareness program	Project manager
2. Perform application assessments	Perform security analysis of system requirements and design (threat modeling)	Security auditor
	Perform source-level security review	Owner: security auditor Key contributor: implementer, designer
	Identify, implement, and perform security tests	Test analyst
	Verify security attributes of resources	Tester
	Research and assess security posture of technology solutions	Owner: designer Key contributor: component vendor
3. Capture security requirements	Identify global security policy	Requirements specifier
	Identify resources and trust boundaries	Owner: architect Key contributor: requirements specifier
	Identify user roles and resource capabilities	Owner: architect Key contributor: requirements specifier
	Specify operational environment	Owner: requirements specifier Key contributor: architect
	Detail misuse cases	Owner: requirements specifier Key contributor: stakeholder
	Identify attack surface	Designer
	Document security-relevant requirements	Owner: requirements specifier Key contributor: architect
4. Implement secure development practices	Apply security principles to design	Designer
	Annotate class designs with security properties	Designer
	Implement and elaborate resource policies and security technologies	Implementer
	Implement interface contracts	Implementer
	Integrate security analysis into source management process	Integrator
	Perform code signing	Integrator
5. Build vulnerability remediation procedures	Manage security issue disclosure process	Owner: project manager Key contributor: designer
5. Build vulnerability remediation procedures	Address reported security issues	Owner: designer Fault reporter
6. Define and monitor metrics	Monitor security metrics	Project manager
7. Publish operational security guidelines	Specify database security configuration	Database designer
7. Publish operational security guidelines	Build operational security guide	Owner: integrator Key contributor: designer, architect, implementer

IT 项目的安全需求（一）— CLASP相关推荐

「软件项目管理」软件项目范围计划——需求管理与任务分解
软件项目范围计划--需求管理与任务分解序言一.软件需求定义及层次 1.定义 2.层次二.软件需求管理过程 1.管理过程 2.需求获取 3.需求分析 4.需求规格编写 5.需求验证 6.需求变更 ...
软件测试中需求分析谁去做的,软件项目在进入需求分析阶段，测试人员应该开始介入其中。 - 问答库...
问题: [判断题] 软件项目在进入需求分析阶段,测试人员应该开始介入其中. A . 正确 B . 错误某男性患者,45岁．乡镇企业工人,因腹胀,尿少2周就诊.诉近年来体力下降较明显,易疲乏,时有右上 ...
JeecgBoot轻松解决ERP项目复杂布局需求，JVXETable高性能行表格效果和项目案例
ERP项目表格布局一般都很复杂,要求大数据.高操作.高性能 ,这个用JeecgBoot如何解决呢? 行编辑无痕刷新,实现鼠标移开即时保存,其他用户数据实时更新并有日历翻牌效果和无痕刷新效果: 行编辑实 ...
团队项目第二周 - 需求规格说明书 - 天冷记得穿秋裤队
团队项目第二周 - 需求规格说明书 - 天冷记得穿秋裤队队员姓名学号陈俊旭(组长) 3116004630 夏瓦克提·木合塔尔 3116004658 张婷(副组长) 3216004672 周方源 ...
项目开发 | 转载 | 需求评审与技术评审
转载自知乎:项目经验需求评审与技术评审 ,文字未改,格式有改动. 文章目录 0. 序 1. 需求评审 2. 技术评审 0. 序做开发应该对需求评审,技术评审并不陌生. 但常有小伙伴抱怨,需求评审 ...
学生选课系统项目介绍及需求
学生选课系统项目介绍及需求第一天笔记: 数据库基础知识主键:Primary Key ,在表中唯一确定该条记录的字段外键:Foreign Key ,引用(参照)另外一个表中的主键字段图书表 i ...
现代IT项目中的需求管理如何做？
现代IT项目中的需求管理如何做? 领测软件测试网我们知道现代项目管理的六要素是:时间.成本.质量.组织.范围.客户满意度,实际上,要满足这六个要素,计划一个良好的需求分析是实现这六因素的前提,如果我 ...
ERP项目售前需求调研提纲
ERP项目售前需求调研提纲 •企业地址及邮编 •企业电话及传真 •企业产品及主导产品型号 •企业产值及销售额 •员工总人数 •组织结构.画出一个组织流程图,列出各主要部门的人员,职责及部门经理姓名 • ...
挨踢项目求生法则-需求篇、战略篇以及设计篇
转自张传波的博客摘要: 知道什么是挨踢项目吧?什么!不知道?那IT项目知道了吧?为了不让客户踢.不让老板踢.项目组成员之间不互相踢,俺为大家分享一些减少被踢机会的心得体会.就算不能让项目成功,也至 ...
2022年湖北省新一代人工智能科技项目揭榜挂帅需求及限制条件
介绍湖北省新一代人工智能科技项目揭榜挂帅需求及限制条件,参照去年申报规定,2022年及2023年申报可参考了解,武汉市.黄石市.十堰市.宜昌市.襄阳市.鄂州市.荆门市.孝感市.荆州市.黄冈市.咸宁市. ...

IT 项目的安全需求（一）— CLASP

IT 项目的安全需求（一）— CLASP相关推荐

最新文章

热门文章