OWASP SAMM 软件保证成熟度模型 王颉 OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org 关于我  王颉（http://www-staff.lboro.ac.uk/~cojw8/index.htm）  现英国拉夫堡大学（Loughborough University）电子工程 系高速网络（High Speed Network）研究组博士生  主要研究方向：  入侵检测系统  攻击树建模  计算机网络QoS分析  OWASP贡献  2010年OWASP新闻简报中文翻译  2010年OWASP Top 10中文翻译组成员  OWASP SAMM中文翻译组成员  OWASP中文项目组负责人之一 OWASP SAMM项目说明 原项目领导人： Pravir Chandra 原项目类型： 文档 原项目赞助方： 美国Fortify公司 原项目参与人员： Fabio Arciniegas Jonathan Carter Dinis Cruz James McGovern Gunnar Peterson John Steven Jeff Williams Matt Bartoldus Darren Challey Justin Derry Matteo Meucci p Jeff Piper Chad Thunberg Sebastien Deleersnyder Brian Chess Bart De Win Jeff Payne Andy y Steingruebl g Colin Watson 项目网站： 项目网站  https://www.owasp.org/index.php/Category:Software_Assurance_Matur ity_Model  http://www.opensamm.org/ OWASP SAMM中文项目说明  中文项目参与人员： 王颉（翻译兼Alpha版本审核） Yitao Wang和Lisa g Wei（Beta版本审核）  项目类型：翻译  当前进度 已发布Alpha版本（下载地址： https://www.owasp.org/images/c/c2/%E8%BD%AF %E4%BB%B6%E4%BF%9D%E8%AF%81%E6%88 %90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5 %9E%8B%28Alpha%29 pdf） %9E%8B%28Alpha%29.pdf） 正在审核Beta版本 OWASP 额外说明 欢迎指正翻译错误 欢 指 翻译错误 欢迎大家提出宝贵的意见 如何在国内的环境里展开应用？ 是否存在缺陷？ 是否可以改进？ OWASP 目录 SAMM介绍 介绍 理解SAMM 应用SAMM 具体安全实践 结束语 OWASP 软件保证成熟度模型（SAMM） OWASP 建立模型的动力 一个组织的行为随着时间的推移而缓慢的改变； 个 织的行为随着时间的推移而缓慢的改变； 改变必须循序渐进得向长期目标进行 没有单 的方法可作用于所有的组织； 没有单一的方法可作用于所有的组织； 一个解决方案必须允许组织根据风险而选择 与安全措施相关的指导必须是规范的； 与安全措施相关的指导必须是规范的 一个解决方案必须为非安全人员提供足够的细节信息 总的来说，建立后的成果必须简单、明确定义、 总的来说 建立后的成果必须简单 明确定义 可衡量。 OWASP 什么是软件保证成熟度模型（SAMM）？ 软件保证成熟度模型； 软件保证成熟度模型； Software Assurance Maturity Model (SAMM) 一个开放的框架； 一个开放的框架 帮助组织制定并实施针对组织所面临来自软件安 全的特定风险的策略。 全的特定风险的策略 OWASP SAMM的目标 创建明确定义和可衡量的目标； 创建明确定义和可衡量的目标； 涉及到软件开发的任何业务； 可用于小型 中型和大型组织 可用于小型、中型和大型组织。 OWASP SAMM的目的 评估一个组织已有的软件安全实践 评估 个 织 有的软件安全实践 ； 建立一个迭代的权衡的软件安全保证计划 ； 证明安全保证计划带来的实质性改善 ； 定义并衡量组织中与安全相关的措施 。 OWASP 理解SAMM模型 OWASP SAMM的业务功能     从企业组织与软件开发的核心活动开始； 在最高等级上，SAMM设置了四种关键业务功能； 对于每一个业务功能，SAMM设置了三个安全措施； 对于每一个安全措施 SAMM设置了三个成熟度等级 对于每一个安全措施，SAMM设置了三个成熟度等级。 OWASP 成熟度等级 每一个安全措施定义了三个等级。 每 个安全措施定义了 个等级 以证明组织是如何随着时间而改变的。  个措施的三个等级： 一个措施的三个等级： 0:隐起点，措施尚未实现； 1:对安全实践有了初步了解并有所专门的提供； 1:对安全实践有了初步了解并有所专门的提供 2:提高了安全实践的效率和（或）有效性； 3:在一定规模上综合掌握了安全实践。 3:在一定规模上综合掌握了安全实践 OWASP 循序渐进改善的方法 每一个安全实践都是一个成熟度领域。 每 个安 实践都是 个成熟度领域 一个目标的成功，代表了一系列安全实践得采用。 简单地说 以分阶段的方式改善一个保证计划 简单地说，以分阶段的方式改善一个保证计划： 选择安全实践去改善保证计划的下一个阶段； 通过执行相关活动指定的成功衡量标准 以得到每个实 通过执行相关活动指定的成功衡量标准，以得到每个实 践的下一个目的。 OWASP 应用SAMM OWASP 评估执行 SAMM的每一个安全实践，都包含了评估记录表 的每 个安 实践 都 含了评估 录表 OWASP 评估处理 支持简便评估和详细评估 支持简便评估和详细评估 简便方法：直接根据回答评分 详细方法 执行额外的审计以后 再评分 详细方法：执行额外的审计以后，再评分 组织的评估得分可能处于两个级别之间，因而采 用“＋” OWASP 创建记分卡 持续衡量 持续衡量 为一个已经就位的保证计划，在持 续的时间框架内获得分数； 差距分析 将获得的详细评估结果与预期的性 能等级做比较，获得分数； 改善证明 在一次安全计划迭代建立完成的前 后，获得分数； OWASP 路线图模版  为使用安全实践，SAMM为以下一些有 代表性的组织提供了路线图模版：  独立软件供应商；  在线服务提供商； 在线服务提供商  金融服务机构；  政府组织。 政府组织  选择这些组织类型的原因：  它们代表了常见的用例；  每个组织都有对于典型软件导致的多种风 险；  每个组织保证计划的最优方案有所不同。 每个组织保证计划的最优方案有所不同 OWASP