CLASP（综合的轻量级应用安全过程）二

对于每一项基于角色的安全活动，CLASP都对以下问题进行了描述：

◇安全活动应该在什么时间如何实施；

◇如果不进行这项安全活动，将会带来多大的风险；

◇如果实施这项安全活动，估计需要多少成本。

CLASP所采用的流程和其他软件安全开发流程相比是属于轻量级的。它使企业能够使用并不繁琐而且仍然系统的流程开发出安全的软件产品，并且也能够和多种软件开发模型相结合。

CLASP的主要目标是支持构建安全处于中心地位的软件，其安全活动大都从安全理论的角度定义和构思，因此，安全活动的覆盖面相当广泛。同时，CLASP通过一些安全最佳实践将安全属性以一种结构化、可重复和可测量的方式整合进软件开发组织的现有或者将要展开的软件开发生命周期中。其相互独立的安全活动以结构化组织的方式集成到开发过程和运行环境中。为了灵活性，要执行的安全活动及其执行顺序的选择是开放的，不同开发者可以自行裁剪以适应待开发产品的实际情况。