分類
CISSP

OWASP SAMM

什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
https://ithelp.ithome.com.tw/upload/images/20210427/20132160HXdkoxVYeY.png
-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM

Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI

OWASP SAMM版本
OWASP SAMM版本2 –公開發布
OWASP SAMM v2.0於2020年2月11日星期二發布
OWASP SAMM v1.5發布,2017年4月13日
OWASP SAMM v1.1發布,2016年3月16日
OpenSAMM的原始版本,2009年3月25日

參考
成熟度模型
OWASP SAMM v2.0發布
OpenSAMM項目

資料來源: Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。