SW 개발보안 점검항목

SW 개발보안 점검항목

[Figure] MS SDL(MicroSoft Secure Development Lifecycle)

(요구정의단계)

1. SW 개발보안계획을 적정하게 수립하여 관리하고 있는지 여부

검토항목

01. 사업수행계획서에 적용범위, 투입인력, 수행일정 및 진단 계획 등 SW 개발보안 계획이 구체적으로 명시되어 있는가?

   - 제안요청서/제안서/계약서와 사업수행계획서 간의 일관성, 적용범위 누락 등

02. 개발보안 가이드 준수여부

   - 적용기준 및 지침 등 마련여부 및 참여 개발인력의 숙지여부 점검

 

(설계단계)

2. 방법론, 절차수립 및 준수여부

01. SW 개발보안을 수행하기 위한 방법론이 결정되고, 사업규모, 일정 등을 고려하여 이루어졌는가?

   - 방법론, 일정 등

02. SW 개발보안 수행을 위한 절차가 정립되고 준수 가이드 및 관련 규정을 준수하고 있는가?

   - 절차 및 가이드, 지침, 산출물

 

(구현단계)

3. 사업자 자체 보안약점 진단 제거 활동의 적정성 점검

   - 신규개발 또는 변경된 소스코드 대상 누락여부 확인

   - 사업자 진단 및 조치활동의 진단규칙 누락여부 등 확인 

   - 보안약점 적용(정오탐 판정) 결과 분석 적정성 확인

   - 43개 필수 보안약점의 제거/누락 여부 등 확인

 

끝.