CLASP (Comprehensive Lightweight Application Security Process)

-

CLASP (Comprehensive Lightweight Application Security Process)

CLASP (Proceso de seguridad en aplicación completo y ligero) proporciona un enfoque bien organizado y estructurado para mover las inquietudes de seguridad a las fases iniciales del ciclo de vida de desarrollo de software, cuando esto sea posible.


Un proyecto del OWASP que establece una serie de actividades, roles y buenas prácticas dirigidas a coordinar los procesos de desarrollo seguro de software. La organización OWASP CLASP se asienta en cinco perspectivas o vistas que abordan los conceptos generales de esta metodología, la distribución de funciones, la valoración de las actividades aplicables, la implementación de estas actividades, y el listado de problemas que pueden dar lugar a la aparición de vulnerabilidades.


Las actividades de la metodología CLASP están descritas en la siguiente Figura 6, debido a que está definido en un modelo basado en perfiles o roles dentro de un grupo de buenos lineamientos.



La estructura que constituye la metodología CLASP se desarrolla a través de 5 etapas:


  1. Vista de conceptos: Proporciona una introducción de alto nivel a la metodología. Describe de manera breve la interacción de las diferentes vistas, las mejores prácticas, en que secuencia aplicar los componentes.


Esta vista se divide en:

  • Descripción estructurada de cada uno de los componentes.

  • preparar alternativas razonables para el uso de las mejores prácticas de seguridad dentro del ciclo de vida del proyecto.


  1. Vista basada en roles: Contiene instrucciones del proceso basadas en funciones. Acá se crean los relojes requeridos para la implementación de las prácticas de seguridad

  2. Vista de evaluación de actividades: Ayuda a los responsables de proyecto a evaluar las actividades más idóneas para aplicar durante el desarrollo. CLASP proporciona cierto soporte para ayudar a elegirlas.

  3. Vista de implementación de actividades: Contiene todas las actividades CLASP de seguridad que pueden ser integradas en el desarrollo del software. Las actividades de SDLC generan un software seguro gracias a las actividades evaluadas y aceptadas durante la evaluación.

  4. Vista de vulnerabilidades: Está formada por un catálogo de diferentes problemas identificados previamente por CLASP que forman la BBDD de vulnerabilidades que se generan en el código fuente del software. Estas se clasifican en cinco categorías diferentes. Además, asociados a esta vista, se describen las condiciones en las que los servicios de seguridad suelen tener vulnerabilidades en la capa de aplicación. También se proporcionan ejemplos prácticos muy sencillos de entender relacionándolos con el origen de la falla y sus posibles soluciones.

Comentarios

Publicar un comentario

Entradas populares de este blog