分類
CISSP

SAMM 敏捷指南

概述

本文檔解釋了 SAMM 安全實踐如何為敏捷工作以在軟件開發過程中持續構建足夠的安全性。它以最佳實踐和陷阱的形式構建。

為什麼是 SAMM 敏捷指南

軟件保證成熟度模型(SAMM)是如何建立和發展安全發展過程中OWASP旗艦項目。它與開發方法無關,這就是為什麼沒有明確涵蓋敏捷的原因。儘管如此,業界似乎強烈需要有關如何在敏捷環境中進行安全軟件開發的指導。您如何將所有必要的活動壓縮到衝刺中,例如需求選擇、威脅建模、驗證?你如何處理故事、虐待故事和完成的定義?您如何讓安全團隊和開發人員合作,而不僅僅是設置質量門?

SAMM敏捷指南的三個主要原因:

  1. 它提供了有關敏捷活動(略有)不同的細節。
  2. 此外,它還提供了有關如何在敏捷中實施活動的更多詳細信息(例如,如何使代碼審查漸進式),以及要注意哪些陷阱。在進行軟件安全時,在實踐中會犯很多錯誤,尤其是在敏捷情況下。
  3. 它可以防止 SAMM 被視為“瀑布過多”。

資料來源:https://owaspsamm.org/guidance/agile/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。