개요
응용 프로그램 개발 주기에 보안을 구축하면 더욱 안전하고 강력한 응용 프로그램을 낮은 비용으로 초기에 구현할 수 있습니다. 응용 프로그램을 개발한 뒤 운영 환경에서 구현하기 전에 보안 기능을 적용해야 한다는 잘못된 개념이 많습니다. 그러나 응용 프로그램이 완료된 후 응용 프로그램 보안 감사를 수행하면 일반적으로 상당히 많은 보안 결함이 발견됩니다. 이러한 결함 중 일부는 심각한 아키텍처 문제와 관련이 있을 수 있습니다. 최선의 경우에는 개발자가 매우 많은 시간과 노력을 투자해 이러한 결함을 수정할 수 있습니다. 최악의 경우에는 아키텍처를 완전히 수정하고 응용 프로그램을 다시 코딩해야 할 수 있습니다. 이러한 방식으로 응용 프로그램 보안을 수행하면 비용과 시간이 많이 소요됩니다. 소프트웨어 개발 주기의 초기 단계부터 보안을 구축하면 이러한 비용이 절감되고 훨씬 짧은 시간에 더 강력한 보안 기능을 갖춘 응용 프로그램을 제작할 수 있습니다.
당사의 보안 소프트웨어 개발 주기(SSDLC) 서비스에는 다음이 포함됩니다.
주요 장점
- 규정 컴플라이언스
보안이 적용되지 않는 응용 프로그램을 사용하는 기업은 일반적으로 규정 및 법률을 위반할 수 있습니다. Foundstone은 이러한 규정 전략 및 특정 컴플라이언스 문제와의 관련성을 잘 이해하고 있습니다. 해당 규정은 다음과 같습니다.- GLBA
- SOX
- HIPAA
- PCI
- 연방 정보 처리 표준
- 응용 프로그램 포트폴리오 전체의 위험 평가
응용 프로그램을 위험 프로파일을 기준으로 분류할 수 있습니다. 이를 통해 소프트웨어 개발 주기 전체에 적절한 보안 대책을 적용할 수 있습니다. - 맞춤형 소프트웨어 개발 주기를 만듭니다.
소프트웨어 개발 문화 및 환경에 적합한 모범사례와 기업이 현재 소프트웨어를 개발하는 방법을 기반으로 고유한 주기를 설정합니다.
방법론
Foundstone은 응용 프로그램 보안 작업의 성숙 단계를 측정하고 다음 7가지 모범사례 영역을 기준으로 SSDLC를 평가하여 다음 단계를 파악하도록 지원합니다.
- 인식 제고 및 교육
- 평가 및 감사
- 개발 및 품질 보증
- 컴플라이언스
- 취약성 대응
- 측정 기준 및 책임 경영
- 운영 보호