组织可能希望或被要求评估其安全开发生命周期的成熟度。本节介绍三种评估方法。
4.1 SAMM
软件保障成熟度模型(SAMM)是一个开放框架,可帮助组织制定和实施针对组织面临的特定风险量身定制的软件安全策略。为SAMM提供资源,使组织能够执行以下操作:
-
-
1. 定义和衡量组织内与安全相关的活动。
-
2. 评估他们现有的软件安全实践。
-
3. 在明确定义的迭代中构建平衡的软件安全程序。
-
-
由于每个组织都使用自己的安全软件流程(即第2节和第3节中列出的实践的独特组合),因此SAMM提供了一个框架来以通用方式描述软件安全计划。SAMM设计者列举了组织为支持其软件安全工作而执行的活动。一些示例活动包括:为每个项目构建和维护滥用案例模型;根据已知风险指定安全要求;并确定软件攻击面。这些活动被归类为12种安全实践之一。这12项安全实践进一步分为四个业务功能之一。业务功能和安全实践如下:
-
-
(c) 安全架构
-
-
(c) 运营支持
SAMM评估通过自我评估或由组织选择的顾问进行。电子表格由SAMM提供,用于对评估进行评分,为组织提供有关其当前成熟度级别的信息:
•3:全面掌握大规模安全实践。
可以定期进行评估,以衡量组织安全保证计划的改进情况。
原文始发于微信公众号(河南等级保护测评):安全软件生命周期之评估安全软件生命周期:SAMM
评论