반응형
* 시큐어 SDLC : 소프트웨어 개발 시 생명주기 전 단계에 보안을 적용하는 기법
- 시큐어 코딩에서 시큐어 SDLC로 기업 관심도가 이전
* 시큐어 SDLC 과정
| 단계 | 행위 | 내용 |
| 사전 / 준비 | 위협 모델링 | 정량적 위협을 계산, 대응 조치를 계획 |
| 계획 / 분석 | 시큐어 디자인, 보안 위험분석 | 필수 보안 설계 원칙을 준수해 산출물 도출 |
| 설계 | 샘플코드 인스펙션, 공격 영역분석 | 시큐어 코딩 가이드에 따른 소스 코드 검토 및 수정 |
| 구현 | 정적 분석, 취약한 API 탐지 | 자동화 보안 도구를 이용한 취약점 점검 |
| 시험 / 검증 | 동적 분석, 침투 테스트, 위협모델 검증 | 실제 모의 해킹과 같은 테스트를 수행 |
| 배포 / 운영 | 24X365 모니터링, 취약점 탐지/대응 | 항시 실시간 대응을 수행 |
* 시큐어 SDLC 유형
| 유형 | 내용 |
| CLASP (Comprehensive, Lightweight Application Security Process) |
개발 초기부터 보안 강화 목적으로 구현된 최초의 보안 SDLC |
| MS-SDL (MicroSoft Secure Development Lifecycle) | MS에서 7단계의 봔 프로세스로 구성된 업계 사실상 표준(De Facto) |
| Open SAMM (Software Assurance Maturity Model) | OWASP에서 개발한 개방항 F/W |
| TST Secure | 예측 가능하게 개발된 소프트웨어의 보안을 개선하는 목적 |
* MS-SDL 방법론 (De Facto)
- 기본 원리로 SD3+C (Secure By Design, Secure By Default, Secure By Deployment, Communications)
반응형
'Information Security > Hacking' 카테고리의 다른 글
| 웹 상 운영체제 명령어 실행 (OS Command Execution on Web) (0) | 2021.02.14 |
|---|---|
| 정적, 동적 분석 (Static, Dynamic Analysis) (0) | 2021.01.09 |
| 시큐어 코딩 (Secure Coding) (0) | 2021.01.09 |
| 사이버 표적 공격 역추적 (Advanced Persistent Threat Traceback) (0) | 2021.01.09 |
| Security Action Cycle(SAC - 시점별 보안 활동) (0) | 2021.01.09 |
