m o c . 5 b u h t i g 软件保证成熟度模型 将软件的安全融入到软件开发过程的指导手册 版本－1.0 欲获得最新版本和其他信息，请访问项目网页 http://www.opensamm.org 鸣谢 软 件 保 证 成 熟 度 模 型 （ SAMM ） 最 初 是 由 独 立 软 件 安 全 顾 问 ： Pravir Chandra （chandra@owasp.org）开创、设计、并编写的。该文档初稿的创作由Fortify软件公司赞助。 该文档目前由Pravir Chandra所领导的OpenSAMM项目进行维护和更新。自SAMM最初版 本的发布以来，这个项目已成为开放Web应用安全项目（OWASP）的一部分。另外，感谢 那些列举在封底上给予我们支持的组织。 贡献者和审核者 如果没有那么多的审核人员和专家所给予的支持以及重要的反馈，这项工作就不会完 成。他们是（以姓的英文首字母排序）： Fabio Arciniegas Matt Bartoldus Sebastien Deleersnyder Jonathan Carter Darren Challey Brian Chess Dinis Cruz Justin Derry Bart De Win James McGovern Matteo Meucci Jeff Payne Gunnar Peterson Jeff Piper Andy Steingruebl John Steven Chad Thunberg Colin Watson Jeff Williams m o c . 5 该中文版本参与人员 翻译及审核:王颉 （因笔者水平有限，欢迎大家指出存在的翻译错误。在以后发布的正式版本中，将修正指出 的错误。） b u h t i g 该中文版发布说明 本文档为“Software Assurance Maturity Model (Version 1.0)”的中文Alpha版发布。该版 本尽量提供原英文版本中的图片，并与原版本尽量保持相同的风格。存在的差异，尽情谅解。 这是一个OWASP的项目 开放Web应用安全项目（OWASP）是一个致力于改善应用软件安全的自由和开放的全 球性社区。我们的任务是使应用程序的安全能够“看得见”，所以使人和机构可以针对应用安 全的风险作出明智的决策。每个人都可以免费加入OWASP，我们所有的材料都基于免费和 开放的软件许可证。OWASP基金会是一家501（c）3非营利的慈善机构，以确保持续的可 用性和支持我们的工作。在线访问OWASP的网站http://www.owasp.org。 许可证 本文档的发布基于Creative Commons Attribution ShareAlike3.0许可 证。欲查看该许可证，请访问 http://creativecommons.org/licenses/by-sa/3.0/ 或 将 信 件 寄 往 Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA。 2 执行摘要 软件保证成熟度模型（SAMM）是一个开放的框架，用以帮助组织制定并实 施针对组织所面临来自软件安全的特定风险的策略。由SAMM提供的资源可作用 于以下方面： ✦评估一个组织已有的软件安全实践； ✦建立一个迭代的权衡的软件安全保证计划； ✦证明安全保证计划带来的实质性改善； ✦定义并衡量组织中与安全相关的措施。 SAMM以灵活的方式定义，以使它可被大、中、小型组织使用于任何类型的 软件开发中。另外，此模型可适用于全组织范围内，从整个组织，或者甚至是一 个单一的项目。除了这些特点，SAMM还建立在以下原则： ✦一个组织的行为随着时间的推移而缓慢的改变——一个成功的软件安全 计划，应当详细说明每一个小的迭代步骤，以使能够提供有形的保证收益，并向 项目的长期目标前进。 ✦没有单一的方法可作用于所有的组织——一个软件安全框架必须是灵活 的，并允许组织可以根据他们的风险承受能力和他们开发和使用软件的方式，去 改进他们的选择。 ✦与安全措施相关的指导必须是规范的——所有建立和评估保证计划的步 骤应是简单的、明确的和可测量的。该模型还为普遍类型的组织提供了路线图模 版。 m o c . 5 b u h t i g 该模型的基础建立于软件开发的每个核心业务职能上，每个职能都有相应的 安全实践（见下图）。该模型为十二个安全实践中的每一个实践，都定义了三个 成熟等级。这些定义了一个组织可以进行的各种实践，以降低安全风险并加强软 件的保证。其他的细节还包括：衡量成功实践的性能表现、了解相关保证的益处、 评估人员和其他成本。 作为一个开放的项目，SAMM的内容应始终保持普遍代表性，并对所有可用 的资源免费提供使用。 SAMM概况 软件开发 业务功能 监管 构造 确认 部署 安全做法 策略与指标 教育与指导 政策与遵守 安全需求 威胁评估 安全测试 设计审核 安全架构 代码审核 环境强化 漏洞管理 操作启用 3 目录 执行摘要 .......................................................................................................................................... 3 理解模型 .......................................................................................................................................... 6 业务功能................................................................................................................................... 8 监管................................................................................................................................. 10 构造................................................................................................................................. 12 验证................................................................................................................................. 14 部署................................................................................................................................. 16 应用模型 ........................................................................................................................................ 18 使用成熟度等级..................................................................................................................... 20 评估执行................................................................................................................................. 21 创建记分卡............................................................................................................................. 26 建立保证计划......................................................................................................................... 27 独立软件供应商............................................................................................................. 28 在线服务提供商............................................................................................................. 29 金融服务机构................................................................................................................. 30 政府组织......................................................................................................................... 31 安全实践 ........................................................................................................................................ 32 策略与指标.........................