5-2-7장. 소프트웨어 개발 직무별 보안 활동 - B

안전한 소프트웨어 개발을 위해서는 프로젝트 관련자들이 보안 활동을 수행할 수 있도록 각 직무별로 수행해야 할 보안활동을 정의해야 한다.

 

프로젝트 관리자

• 응용 프로그램에 대한 보안 전략을 조직 구성원들에게 전달

• 조직 구성원들에게 응용 프로그램 보안 영향을 이해시킴

• 조직의 상태를 모니터링

요구사항 분석가

• 아키텍트가 고려해야 할 보안 관련 비즈니스 요구사항 설명

• 프로젝트 팀이 고려해야 할 구조 정의 및 해당 구조에 존재하는 자원에 대한 보안 요구사항 정의

아키텍트

• 보안 오류가 발생하지 않도록 보안 기술 문제를 충분히 이해

• 시스템에 사용되는 모든 리소스 정의 및 각 리소스별로 적절한 보안 요구사항을 적용

설계자

• 특정 기술에 대해 보안 요구사항의 만족성 여부 확인

• 문제 발생 시 최전의 문제 해결 방법을 결정

• 보안 수준에 대한 품질 측정 지원

• 수정 요구사항을 최소화하기 위한 방법 제공

• 다른 SW와 통합시 발생할 수 있는 보안 위험에 대해 이해

• SW에서 발견된 보안 위협에 대해 적절히 대응

구현 개발자

• 구조화된 소프트웨어 개발 환경에서 프로그램을 원활히 구현할 수 있도록 시큐어코딩 표준을 준수하여 개발

• 다른 사람이 안전 여부를 쉽게 확인할 수 있도록 문서화

테스트 분석가

• 소프트웨어 개발 요구사항과 구현 결과를 반복적으로 확인

• 테스트 분석가는 반드시 보안 전문가일 필요는 없지만 보안 위험에 대한 학습이나 툴(Tool) 사용법 정도는 숙지하고 있어야 함

보안 감시자

• SW 개발 프로젝트의 현재 상태의 보안을 보장

• 요구사항 검토 시 요구사항 적합성과 완전성을 확인

• 소프트웨어 개발 프로젝트의 전체 단계에서 활동

• 설계 단계에서는 보안 문제를 이어질 수 있는 사항이 있는지 확인

• 구현 단계에서는 보안 문제가 있는지 확인