2.CLASP(综合的轻量级应用安全过程)
综合的轻量级应用安全过程(Comprehensive Lightweight ApplicationSecurity Process, CLASP)最初由安全软件公司(Secure Software,Inc.)提出;后来由开放Web应用安全项目( The Open Web Application Security Project,OWASP)完善、维护并推广。
CLASP是一个用于构建安全软件的轻量级过程,包括由30个特定的活动(activities)和和辅助资源构成的集合,用于提升整个开发团队的安全意识,并针对这些活动给出了相应的指南、导则和检查列表( checklist)。
CLASP的一个很大特点是其安全活动基于角色安排,强调安全开发过程中的角色和职责。软件开发不同阶段的安全活动需要指派不同的角色负责和参与。这些角色分别包括:
项目经理( Project Managers)、需求专家(Requirements Specifiers)、软件架构师(Software Architec,ts)、设计者(Designers)、实施人员(In,plementers)、集成和编译人员(Integ.'ator and Assemhlers)、测试者和测试分析师(Teslers an(l Test Analysts)、安全审计员(Security AucEiliors)。