PDF《OWASP SAMM》

在最高等级上,SAMM设置了四种关键业务功能;

对于每一个业务功能,SAMM设置了三个安全措施;

对于每一个安全措施 SAMM设置了三个成熟度等级 对于每一个安全措施,SAMM设置了三个成熟度等级. OWASP 成熟度等级 每一个安全措施定义了三个等级. 每 个安全措施定义了 个等级 以证明组织是如何随着时间而改变的. 一个措施的三个等级: 个措施的三个等级: 0:隐起点,措施尚未实现;

1:对安全实践有了初步了解并有所专门的提供 1:对安全实践有了初步了解并有所专门的提供;

2:提高了安全实践的效率和(或)有效性;

3:在一定规模上综合掌握了安全实践 3:在一定规模上综合掌握了安全实践. OWASP 循序渐进改善的方法 每一个安全实践都是一个成熟度领域. 每 个安 实践都是 个成熟度领域 一个目标的成功,代表了一系列安全实践得采用. 简单地说 以分阶段的方式改善一个保证计划 简单地说,以分阶段的方式改善一个保证计划: 选择安全实践去改善保证计划的下一个阶段;

通过执行相关活动指定的成功衡量标准 以得到每个实 通过执行相关活动指定的成功衡量标准,以得到每个实 践的下一个目的. OWASP 应用SAMM 应用SAMM OWASP 评估执行 SAMM的每一个安全实践,都包含了评估记录表 的每 个安 实践 都 含了评估 录表 OWASP 评估处理 支持简便评估和详细评估 支持简便评估和详细评估 简便方法:直接根据回答评分 详细方法 执行额外的审计以后 再评分 详细方法:执行额外的审计以后,再评分 组织的评估得分可能处于两个级别之间,因而采 用 + 用 + OWASP 创建记分卡 持续衡量 持续衡量 为一个已经就位的保证计划,在持 续的时间框架内获得分数;

差距分析 将获得的详细评估结果与预期的性 将获得的详细评估结果与预期的性 能等级做比较,获得分数;

改善证明 改善证明 在一次安全计划迭代建立完成的前 后,获得分数;

后,获得分数;

OWASP 路线图模版 为使用安全实践,SAMM为以下一些有 代表性的组织提供了路线图模版: 独立软件供应商;

在线服务提供商 在线服务提供商;

金融服务机构;

政府组织 政府组织. 选择这些组织类型的原因: 它们代表了常见的用例;

它们代表了常见的用例;

每个组织都有对于典型软件导致的多种风 险;

每个组织保证计划的最优方案有所不同 每个组织保证计划的最优方案有所不同. OWASP 具体安全实践 具体安全实践 OWASP 策略与指标(Strategy &

Metrics) gy 策略与指标 SM1 SM2 SM3 目标 为组织内的软件 衡量数据和软件 使安全成本与相 安全建立统一的 战略路线图. 资产的相对价值 ,并选择风险容 忍度. 关业务指标和资 产价值相一致. 忍度. 措施 A.评估整体业务 风险概况;

A.根据业务风险 将数据和应用程 A.引导周期性地 全行业成本比较 风险概况;

B.建立并维护保 证计划路线图. 将数据和应用程 序分类;

B.建立并衡量每 个分组的安全目 全行业成本比较 ;

B.为以前的安全 成本收集度量标 个分组的安全目 的. 成本收集度量标 准. OWASP 政策与遵守(Policy &

Compliance) y p 政策与遵守 PC1 PC2 PC3 目标 了解组织的相关 建立安全和遵守 要求遵守标准, 目标 了解组织的相关 监管和遵守要求 . 建立安全和遵守 的基准线,并了 解每个项目的风 险. 要求遵守标准, 并衡量项目是否 符合全组织的政 策和标准. 险. 策和标准. 措施 A. 确定并监控外 部的遵守驱动 A. 为安全和遵守 建立政策和标 A. 为项目建立遵 守关卡 部的遵守驱动 因素;