什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。
SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
-SAMM模型結構
OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0
SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM
Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI
OWASP SAMM版本
. OWASP SAMM版本2 –公開發布
. OWASP SAMM v2.0於2020年2月11日星期二發布
. OWASP SAMM v1.5發布,2017年4月13日
. OWASP SAMM v1.1發布,2016年3月16日
. OpenSAMM的原始版本,2009年3月25日
參考
. 成熟度模型
. OWASP SAMM v2.0發布
. OpenSAMM項目
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
