OWASP SAMM 软件保证成熟度模型 王颉 OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org 关于我  王颉(http://www-staff.lboro.ac.uk/~cojw8/index.htm)  现英国拉夫堡大学(Loughborough University)电子工程 系高速网络(High Speed Network)研究组博士生  主要研究方向:  入侵检测系统  攻击树建模  计算机网络QoS分析  OWASP贡献  2010年OWASP新闻简报中文翻译  2010年OWASP Top 10中文翻译组成员  OWASP SAMM中文翻译组成员  OWASP中文项目组负责人之一 OWASP SAMM项目说明 原项目领导人: Pravir Chandra 原项目类型: 文档 原项目赞助方: 美国Fortify公司 原项目参与人员: Fabio Arciniegas Jonathan Carter Dinis Cruz James McGovern Gunnar Peterson John Steven Jeff Williams Matt Bartoldus Darren Challey Justin Derry Matteo Meucci p Jeff Piper Chad Thunberg Sebastien Deleersnyder Brian Chess Bart De Win Jeff Payne Andy y Steingruebl g Colin Watson 项目网站: 项目网站  https://www.owasp.org/index.php/Category:Software_Assurance_Matur ity_Model  http://www.opensamm.org/ OWASP SAMM中文项目说明  中文项目参与人员: 王颉(翻译兼Alpha版本审核) Yitao Wang和Lisa g Wei(Beta版本审核)  项目类型:翻译  当前进度 已发布Alpha版本(下载地址: https://www.owasp.org/images/c/c2/%E8%BD%AF %E4%BB%B6%E4%BF%9D%E8%AF%81%E6%88 %90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5 %9E%8B%28Alpha%29 pdf) %9E%8B%28Alpha%29.pdf) 正在审核Beta版本 OWASP 额外说明 欢迎指正翻译错误 欢 指 翻译错误 欢迎大家提出宝贵的意见 如何在国内的环境里展开应用? 是否存在缺陷? 是否可以改进? OWASP 目录 SAMM介绍 介绍 理解SAMM 应用SAMM 具体安全实践 结束语 OWASP 软件保证成熟度模型(SAMM) OWASP 建立模型的动力 一个组织的行为随着时间的推移而缓慢的改变; 个 织的行为随着时间的推移而缓慢的改变; 改变必须循序渐进得向长期目标进行 没有单 的方法可作用于所有的组织; 没有单一的方法可作用于所有的组织; 一个解决方案必须允许组织根据风险而选择 与安全措施相关的指导必须是规范的; 与安全措施相关的指导必须是规范的 一个解决方案必须为非安全人员提供足够的细节信息 总的来说,建立后的成果必须简单、明确定义、 总的来说 建立后的成果必须简单 明确定义 可衡量。 OWASP 什么是软件保证成熟度模型(SAMM)? 软件保证成熟度模型; 软件保证成熟度模型; Software Assurance Maturity Model (SAMM) 一个开放的框架; 一个开放的框架 帮助组织制定并实施针对组织所面临来自软件安 全的特定风险的策略。 全的特定风险的策略 OWASP SAMM的目标 创建明确定义和可衡量的目标; 创建明确定义和可衡量的目标; 涉及到软件开发的任何业务; 可用于小型 中型和大型组织 可用于小型、中型和大型组织。 OWASP SAMM的目的 评估一个组织已有的软件安全实践 评估 个 织 有的软件安全实践 ; 建立一个迭代的权衡的软件安全保证计划 ; 证明安全保证计划带来的实质性改善 ; 定义并衡量组织中与安全相关的措施 。 OWASP 理解SAMM模型 OWASP SAMM的业务功能     从企业组织与软件开发的核心活动开始; 在最高等级上,SAMM设置了四种关键业务功能; 对于每一个业务功能,SAMM设置了三个安全措施; 对于每一个安全措施 SAMM设置了三个成熟度等级 对于每一个安全措施,SAMM设置了三个成熟度等级。 OWASP 成熟度等级 每一个安全措施定义了三个等级。 每 个安全措施定义了 个等级 以证明组织是如何随着时间而改变的。  个措施的三个等级: 一个措施的三个等级: 0:隐起点,措施尚未实现; 1:对安全实践有了初步了解并有所专门的提供; 1:对安全实践有了初步了解并有所专门的提供 2:提高了安全实践的效率和(或)有效性; 3:在一定规模上综合掌握了安全实践。 3:在一定规模上综合掌握了安全实践 OWASP 循序渐进改善的方法 每一个安全实践都是一个成熟度领域。 每 个安 实践都是 个成熟度领域 一个目标的成功,代表了一系列安全实践得采用。 简单地说 以分阶段的方式改善一个保证计划 简单地说,以分阶段的方式改善一个保证计划: 选择安全实践去改善保证计划的下一个阶段; 通过执行相关活动指定的成功衡量标准 以得到每个实 通过执行相关活动指定的成功衡量标准,以得到每个实 践的下一个目的。 OWASP 应用SAMM OWASP 评估执行 SAMM的每一个安全实践,都包含了评估记录表 的每 个安 实践 都 含了评估 录表 OWASP 评估处理 支持简便评估和详细评估 支持简便评估和详细评估 简便方法:直接根据回答评分 详细方法 执行额外的审计以后 再评分 详细方法:执行额外的审计以后,再评分 组织的评估得分可能处于两个级别之间,因而采 用“+” OWASP 创建记分卡 持续衡量 持续衡量 为一个已经就位的保证计划,在持 续的时间框架内获得分数; 差距分析 将获得的详细评估结果与预期的性 能等级做比较,获得分数; 改善证明 在一次安全计划迭代建立完成的前 后,获得分数; OWASP 路线图模版  为使用安全实践,SAMM为以下一些有 代表性的组织提供了路线图模版:  独立软件供应商;  在线服务提供商; 在线服务提供商  金融服务机构;  政府组织。 政府组织  选择这些组织类型的原因:  它们代表了常见的用例;  每个组织都有对于典型软件导致的多种风 险;  每个组织保证计划的最优方案有所不同。 每个组织保证计划的最优方案有所不同 OWASP

pdf文档 OWASP SAMM中文Alpha版

文档预览
中文文档 35 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共35页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
OWASP SAMM中文Alpha版 第 1 页 OWASP SAMM中文Alpha版 第 2 页 OWASP SAMM中文Alpha版 第 3 页
下载文档到电脑,方便使用
本文档由 SC2022-10-20 13:03:17上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言