web-dev-qa-db-ja.com

ソフトウェア開発プロセス、OWASP CLASP&MS SDL、およびセキュリティ標準はどのように組み合わされますか?

これらの3つの概念をどのように組み合わせるか:

ソフトウェア開発プロセス([〜#〜] sdp [〜#〜])は、アプリケーション作成のさまざまなフェーズを示します。よく知られているプロセスは、ウォーターフォール、スパイラル、アジャイル、極端なプログラミングなどです。

OWASPクラスプとMicrosoft SDLは、アプリケーションのセキュリティを向上させるプロセスです。彼らが私が理解している方法は、ソフトウェア開発プロセスに取って代わるものではなく、それらに統合されるということです。選択したSDPにクラスプとSDLを適合させる必要があると思いますか?

そして最後に、ISO 27000ファミリやその他のさまざまなセキュリティ標準(NIST、BSI、IECなど))があります。これらはどのように全体像に適合しますか?これらのより大きなフレームワークは、上記のポイントは埋め込まれていますか?

iso27000processsdl
5
daniel f.

ISO 27000ファミリについては、実装の範囲に関連するかどうかを指定する必要がある管理システムの一部であるコントロールのリストがあります。これらのコントロールは、何をすべきかについての要件を指定しますが、それを行う方法に自由を与えます。つまり、開発プロセスにISO 27000の要件を自由に注入できます。

コントロールの例は、「システム受け入れテスト」であり、これは、標準に準拠している人が現在の資産内の変更の受け入れテストを行うことを要求します。これが組織のプロセスのどこに当てはまるかを理解するのはあなたに任せます。

HTH

1
RAO