综合的轻量级应用安全过程(Comprehensive Lightweight ApplicationSecurity Process, CLASP)最初由安全软件公司(Secure Software,Inc.)提出;后来由开放Web应用安全项目( The Open Web Application Security Project,OWASP)完善、维护并推广。
CLASP是一个用于构建安全软件的轻量级过程,包括由30个特定的活动(activities)和和辅助资源构成的集合,用于提升整个开发团队的安全意识,并针对这些活动给出了相应的指南、导则和检查列表( checklist)。
CLASP的一个很大特点是其安全活动基于角色安排,强调安全开发过程中的角色和职责。软件开发不同阶段的安全活动需要指派不同的角色负责和参与。这些角色分别包括:
项目经理( Project Managers)、需求专家(Requirements Specifiers)、软件架构师(Software Architec,ts)、设计者(Designers)、实施人员(In,plementers)、集成和编译人员(Integ.'ator and Assemhlers)、测试者和测试分析师(Teslers an(l Test Analysts)、安全审计员(Security AucEiliors)。
应建立评估收集和报告策略,对评估标准也应周期性更新。 综合的轻量应用开发过程(CLASP)安全需求的方法包含以下步骤:
1) 确定系统用户和资源
2) 将资源抽象并分类
3)识别资源在系统的整个生命周期中的交互
4) 需求规格说明,对每种资源的分类,当与其他资源进行交互时,我们都应该详细说明如何访问每种核心安全服务。