评估安全软件生命周期:BSIMM

admin
admin
admin
138635
文章
114
评论
2024年2月15日11:08:58评论84 views字数 852阅读2分50秒阅读模式

4.2 BSIMM

Gary McGraw、Sammy Migues 和 Brian Chess 希望创建一个描述性模型,描述安全软件开发生命周期中的实践状态。因此,他们在2009年分叉了SAMM的早期版本(见第4.1节),以创建成熟度模型(BSIMM)的原始结构。从那时起,BSIMM就被用于构建一项关于行业软件安全计划现状的多年实证研究。
由于每个组织都使用自己的安全软件流程(即第2节和第3节中列出的实践的独特组合),因此BSIMM提供了一个框架,以通用方式描述软件安全计划。根据他们的观察结果,BSIMM设计师列举了组织为支持其软件安全工作而执行的113项活动。一些示例活动包括:构建和发布安全功能;使用自动化工具以及手动审查;并将黑盒安全工具集成到质量保证流程中。每个活动都与一个成熟度级别相关联,并被归类为12个实践之一。这12个实践进一步分为四个领域之一。领域和做法如下:
1.  领域:治理
(a) 策略和指标
(b) 合规性和政策
(c) 训练
2. 领域:情报
(a) 攻击模型
(b) 安全功能和设计
(c) 标准和要求
3. 领域:安全的软件开发生命周期接触点

(a) 架构分析

(b) 代码审查

(c) 安全测试

4. 域:部署
(a) 渗透测试
(b) 软件环境

(c) 配置管理和漏洞管理

BSIMM评估由Cigital(现为Synopsys)的软件安全专业人员与公司的安全负责人进行面对面访谈。通过访谈,该公司获得了公司使用的113种软件安全活动中的记分卡。在公司完成访谈后,他们会获得与接受评估的其他组织进行比较的信息。BSIMM评估自2008年开始进行。每年,所有公司的评估总体结果都会公布,从而产生BSIMM1到BSIMM9报告。自2008年BSIMM研究启动以来,已有167家公司参与了BSIMM评估,有时多次参与,包括389项不同的衡量标准。为了确保所报告数据的持续相关性,BSIMM9报告排除了超过42个月的测量结果,并报告了从120家公司收集的320个不同的测量结果。

原文始发于微信公众号(河南等级保护测评):评估安全软件生命周期:BSIMM

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日11:08:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   评估安全软件生命周期:BSIMMhttps://cn-sec.com/archives/2198159.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息