文章目录
[+]
4.1SAMM
软件保障成熟度模型(SAMM)是一个开放框架,可帮助组织制定和实施针对组织面临的特定风险量身定制的软件安全策略。
为SAMM提供资源,使组织能够执行以下操作:
1. 定义和衡量组织内与安全相关的活动。
(图片来自网络侵删)
2. 评估他们现有的软件安全实践。
3. 在明确定义的迭代中构建平衡的软件安全程序。
4. 演示安全保证计划中的改进。
由于每个组织都使用自己的安全软件流程(即第2节和第3节中列出的实践的独特组合),因此SAMM提供了一个框架来以通用方式描述软件安全计划。SAMM设计者列举了组织为支持其软件安全工作而执行的活动。一些示例活动包括:为每个项目构建和维护滥用案例模型;根据已知风险指定安全要求;并确定软件攻击面。这些活动被归类为12种安全实践之一。这12项安全实践进一步分为四个业务功能之一。
业务功能和安全实践如下:
1. 业务功能:治理
(a) 策略和指标
(b) 政策与合规性
(c) 教育和指导
2. 业务功能:结构
(a) 威胁评估
(b) 安全要求
(c) 安全架构
3. 业务功能:验证
(a) 设计审查
(b) 代码审查
(c) 安全测试
4. 业务功能:部署
(a) 漏洞管理
(b) 环境硬化
(c) 运营支持
SAMM评估通过自我评估或由组织选择的顾问进行。电子表格由SAMM提供,用于对评估进行评分,为组织提供有关其当前成熟度级别的信息:
•0:隐含起点,表示实践中的活动未完成。
•1:对安全实践的初步理解和临时规定。
•2:提高安全实践的效率和/或有效性。
•3:全面掌握大规模安全实践。
可以定期进行评估,以衡量组织安全保证计划的改进情况。
