SW 개발보안 점검항목
[Figure] MS SDL(MicroSoft Secure Development Lifecycle)
(요구정의단계)
1. SW 개발보안계획을 적정하게 수립하여 관리하고 있는지 여부
검토항목
01. 사업수행계획서에 적용범위, 투입인력, 수행일정 및 진단 계획 등 SW 개발보안 계획이 구체적으로 명시되어 있는가?
- 제안요청서/제안서/계약서와 사업수행계획서 간의 일관성, 적용범위 누락 등
02. 개발보안 가이드 준수여부
- 적용기준 및 지침 등 마련여부 및 참여 개발인력의 숙지여부 점검
(설계단계)
2. 방법론, 절차수립 및 준수여부
01. SW 개발보안을 수행하기 위한 방법론이 결정되고, 사업규모, 일정 등을 고려하여 이루어졌는가?
- 방법론, 일정 등
02. SW 개발보안 수행을 위한 절차가 정립되고 준수 가이드 및 관련 규정을 준수하고 있는가?
- 절차 및 가이드, 지침, 산출물
(구현단계)
3. 사업자 자체 보안약점 진단 제거 활동의 적정성 점검
- 신규개발 또는 변경된 소스코드 대상 누락여부 확인
- 사업자 진단 및 조치활동의 진단규칙 누락여부 등 확인
- 보안약점 적용(정오탐 판정) 결과 분석 적정성 확인
- 43개 필수 보안약점의 제거/누락 여부 등 확인
끝.
