安全软件生命周期之评估安全软件生命周期:SAMM

admin
admin
admin
139580
文章
114
评论
2023年11月4日17:24:37评论49 views字数 747阅读2分29秒阅读模式
组织可能希望或被要求评估其安全开发生命周期的成熟度。本节介绍三种评估方法。

4.1 SAMM

软件保障成熟度模型SAMM)是一个开放框架,可帮助组织制定和实施针对组织面临的特定风险量身定制的软件安全策略。为SAMM提供资源,使组织能够执行以下操作:

  2. 1.   定义和衡量组织内与安全相关的活动。

  3. 2.   评估他们现有的软件安全实践。

  4. 3.   在明确定义的迭代中构建平衡的软件安全程序。

  5. 4.   演示安全保证计划中的改进。

由于每个组织都使用自己的安全软件流程(即第2节和第3节中列出的实践的独特组合),因此SAMM提供了一个框架来以通用方式描述软件安全计划。SAMM设计者列举了组织为支持其软件安全工作而执行的活动。一些示例活动包括:为每个项目构建和维护滥用案例模型;根据已知风险指定安全要求;并确定软件攻击面。这些活动被归类为12种安全实践之一。这12项安全实践进一步分为四个业务功能之一。业务功能和安全实践如下:
  1. 1.    业务功能:治理
(a) 策略和指标
(b) 政策与合规性
(c) 教育和指导
  1. 2.     业务职能:结构
(a) 威胁评估
(b) 安全要求

(c) 安全架构

  1. 3.    业务功能:验证
(a) 设计审查
(b) 代码审查
(c) 安全测试
  1. 4.     业务 功能:部署
(a) 漏洞管理
(b) 环境硬化

(c) 运营支持

SAMM评估通过自我评估或由组织选择的顾问进行。电子表格由SAMM提供,用于对评估进行评分,为组织提供有关其当前成熟度级别的信息:
•0:隐含起点,表示实践中的活动未完成。
•1:对安全实践的初步理解和临时规定。
•2:提高安全实践的效率和/或有效性。

•3:全面掌握大规模安全实践。

可以定期进行评估,以衡量组织安全保证计划的改进情况。

原文始发于微信公众号(河南等级保护测评):安全软件生命周期之评估安全软件生命周期:SAMM

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月4日17:24:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全软件生命周期之评估安全软件生命周期:SAMMhttps://cn-sec.com/archives/2175662.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息