编辑: 迷音桑 | 2019-07-16 |
The OWASP Foundation http://www.owasp.org 关于我 王颉(http://www-staff.lboro.ac.uk/~cojw8/index.htm) 现英国拉夫堡大学(Loughborough University)电子工程 系高速网络(High Speed Network)研究组博士生 主要研究方向: 入侵检测系统 攻击树建模 计算机网络QoS分析 OWASP贡献 OWASP贡献 2010年OWASP新闻简报中文翻译 2010年OWASP Top 10中文翻译组成员 2010年OWASP Top 10中文翻译组成员 OWASP SAMM中文翻译组成员 OWASP中文项目组负责人之一 OWASP SAMM项目说明 原项目领导人: Pravir Chandra 原项目类型: 文档 原项目赞助方: 美国Fortify公司 原项目参与人员: Fabio Arciniegas Matt Bartoldus Sebastien Deleersnyder Jonathan Carter Darren Challey Brian Chess Dinis Cruz Justin Derry Bart De Win James McGovern Matteo Meucci Jeff Payne Gunnar Peterson Jeff Piper Andy Steingruebl p y g John Steven Chad Thunberg Colin Watson Jeff Williams 项目网站: 项目网站 https://www.owasp.org/index.php/Category:Software_Assurance_Matur ity_Model http://www.opensamm.org/ OWASP SAMM中文项目说明 中文项目参与人员: 王颉(翻译兼Alpha版本审核) Yitao Wang和Lisa Wei(Beta版本审核) g 项目类型:翻译 当前进度 已发布Alpha版本(下载地址: https://www.owasp.org/images/c/c2/%E8%BD%AF %E4%BB%B6%E4%BF%9D%E8%AF%81%E6%88 %90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5 %9E%8B%28Alpha%29 pdf) %9E%8B%28Alpha%29.pdf) 正在审核Beta版本 OWASP 额外说明 欢迎指正翻译错误 欢指翻译错误 欢迎大家提出宝贵的意见 如何在国内的环境里展开应用? 如何在国内的环境里展开应用? 是否存在缺陷? 是否可以改进? 是否可以改进? OWASP 目录 SAMM介绍 介绍 理解SAMM 应用SAMM 应用SAMM 具体安全实践 结束语 OWASP 软件保证成熟度模型(SAMM) 软件保证成熟度模型(SAMM) OWASP 建立模型的动力 一个组织的行为随着时间的推移而缓慢的改变;
个 织的行为随着时间的推移而缓慢的改变;
改变必须循序渐进得向长期目标进行 没有单一的方法可作用于所有的组织;
没有单 的方法可作用于所有的组织;
一个解决方案必须允许组织根据风险而选择 与安全措施相关的指导必须是规范的 与安全措施相关的指导必须是规范的;
一个解决方案必须为非安全人员提供足够的细节信息 总的来说 建立后的成果必须简单 明确定义 总的来说,建立后的成果必须简单、明确定义、 可衡量. OWASP 什么是软件保证成熟度模型(SAMM)? 软件保证成熟度模型;
软件保证成熟度模型;
Software Assurance Maturity Model (SAMM) 一个开放的框架 一个开放的框架;
帮助组织制定并实施针对组织所面临来自软件安 全的特定风险的策略 全的特定风险的策略. OWASP SAMM的目标 创建明确定义和可衡量的目标;
创建明确定义和可衡量的目标;
涉及到软件开发的任何业务;
可用于小型 中型和大型组织 可用于小型、中型和大型组织. OWASP SAMM的目的 评估一个组织已有的软件安全实践 ;
评估 个织有的软件安全实践 ;
建立一个迭代的权衡的软件安全保证计划 ;
证明安全保证计划带来的实质性改善 证明安全保证计划带来的实质性改善 ;
定义并衡量组织中与安全相关的措施 . OWASP 理解SAMM模型 理解SAMM模型 OWASP SAMM的业务功能 从企业组织与软件开发的核心活动开始;