ITPE * JackerLab

개요CLASP(Classification of Secure Application Development Practices)는 보안을 소프트웨어 개발 프로세스에 통합하기 위한 실천 기반의 개발 방법론으로, 소프트웨어 보안을 개발자, 설계자, 아키텍트 등 실무자에게 구체적으로 적용할 수 있도록 구성되어 있다. 특히 실용적이고 역할 기반의 접근이 특징이며, 개발 프로세스 내에서 수행해야 할 보안 활동을 명확하게 제시함으로써 보안 사고 예방에 효과적이다.1. 개념 및 정의CLASP는 OWASP(Open Web Application Security Project)에서 제안한 보안 개발 프레임워크로, 기존의 개발 프로세스에 보안 기능과 체크리스트를 통합하여 개발자가 실제로 실천할 수 있는 보안 활동을 정의한다. 역할..

개요Seven Touch Points는 Gary McGraw 박사가 제안한 실천 기반의 소프트웨어 보안 개발방법론으로, 실제 개발 프로세스 속에 보안 활동을 자연스럽게 통합하기 위한 7가지 핵심 접점을 제시한다. 이는 전통적인 개발 생명주기(SDLC)나 DevSecOps와도 연계 가능하며, 조직이 개발 과정 중 언제, 어떤 방식으로 보안을 고려해야 하는지를 명확히 안내한다. 특히 보안 리스크를 선제적으로 줄이고, 코딩 단계부터 운영 단계까지 보안 수준을 높이기 위한 실무적 접근법이다.1. 개념 및 정의Seven Touch Points는 보안이 개발자의 업무 흐름 속에 통합되어야 한다는 관점에서, 각 개발 단계에 삽입 가능한 7가지 보안 활동을 정의한다. 이는 보안을 외부 감사 항목이 아닌 개발 품질의 핵..

개요개발보안가이드는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안을 고려한 안전한 코드 작성 기준을 제시하는 가이드라인이다. 이는 보안 취약점을 사전에 예방하고, 해킹·침해 사고를 최소화하며, 정보 보호법 등 법적 요구사항을 충족시키는 데 목적이 있다. 특히 금융, 공공, 의료 등 보안이 중시되는 산업에서 필수적으로 준수되어야 하며, 개발자, 기획자, 보안 담당자 모두에게 필요한 지침이다.1. 개념 및 정의개발보안은 소프트웨어 개발 과정에서 보안을 내재화(Shift Left)하는 개념으로, 보안 결함이 제품 출시 전에 제거되도록 한다. 한국에서는 행정안전부, 금융보안원, KISA 등이 개발보안가이드를 제정하여 권고하고 있으며, 주요 기준으로 CWE, OWASP Top 10 등이 사용된다.2. 특징..