PDF《OWASP SAMM》

B. 建立并维护遵 守指导 建立政策和标 准;

B. 建立项目审计 实践 守关卡;

B. 为审计数据的 采集,采用解 决方案 守指导. 实践. 决方案. OWASP 教育与指导(Education &

Guidance) 教育与指导 EG1 EG2 EG3 目标 为开发人员提供 为软件生命周期 实施综合的安全 关于以安全编程 和部署为主题的 资源. 中所有的人员提 供基于角色的安 全开发详细指导 培训,并为员工 进行基本知识的 认证检验. 资源 全开发详细指导 . 认 检验 措施 A. 实施技术安全 意识的培训 A. 实施针对特定 角色的应用程 A. 建立正式的应 用程序安全支 意识的培训;

B. 建立并维护技 术指导. 角色的应用程 序安全培训;

B. 聘用安全指导 用程序安全支 持门户网站;

B. 建立基于角色 专家增强项目 团队. 的考试或认证 制度. OWASP 威胁评估(Threat Assessment) 威胁评估 TA1 TA2 TA3 目标 确定并了解组织 提高威胁评估的 将补偿控制与对 和单个项目的高 级别威胁. 准确性,并深入 了解每个项目的 细节. 内部和第三方软 件的每个威胁具 体联系起来. 措施 A. 建立并维护特 定应用程序的 A. 建立并维护每 个项目的滥用 A. 明确评估来自 第三方组件的 威胁模型;

B. 根据软件架构 建立攻击者概 用例模型;

B. 为威胁的度量 采用一个权重 风险;

B. 用补偿控制详 细描述威胁模 建立攻击者概 况. 采用 个权重 系统. 细描述威胁模 型. OWASP 安全需求(Security Requirements) y q 安全需求 SR1 SR2 SR3 目标 在软件需求分析 根据业务逻辑和 为所有软件项目 阶段明确地将安 全考虑在内. 已知风险增加安 全需求的深度. 和第三方的附属 项目强制要求安 全需求. 全需求 措施 A. 从业务功能推 导出安全需求 A. 为资源和能力 建立一个访问 A. 将安全需求写 入供应商协议 导出安全需求 ;

B. 为需求评估安 全和遵守指导 建立 个访问 控制矩阵;

B. 根据已知风险 指定安全需求 入供应商协议 中;

B. 为安全需求扩 展审计计划 全和遵守指导 . 指定安全需求 . 展审计计划. OWASP 安全架构(Secure Architecture) 安全架构 SA1 SA2 SA3 目标 将主动安全指导 将软件设计过程 正式控制软件设 的想法引入到软 件设计过程中. 引导向已知安全 服务和默认安全 设计. 计过程并验证安 全部件的使用. 设计 措施 A. 维护推荐的软 件框架列表;

A. 明确并促进安 全服务和基础 A. 建立正式的参 照架构和平台 件框架列表;

B. 将安全原则明 确运用到设计 中 全服务和基础 设施;

B. 明确来自架构 的安全设计模 照架构和平台 ;

B. 验证框架、模 式和平台的使 中. 的安全设计模 式. 式和平台的使 用. OWASP 设计审核(Design Review) g 设计审核 DR1 DR2 DR3 目标 为软件设计提供 根据安全的最佳 需求评估并验证 目标 为软件设计提供 专门的审核,以 确保排除已知风 险的最低线 根据安全的最佳 实践为软件设计 审核提供评估服 务 需求评估并验证 已完成部分,以 详细了解保护机 制 险的最低线. 务. 制. 措施 A. 确定软件攻击 A. 检查提供安全 A. 为敏感资源开 措施 A. 确定软件攻击 层面;

B. 根据已知安全 需求分析设计 A. 检查提供安全 机制的完整性 ;

B 为项目团队部 A. 为敏感资源开 发数据流图;

B. 为设计审核建 立发布关卡. 需求分析设计 . B. 为项目团队部 署设计审核服 务. 立发布关卡. OWASP 代码审核(Code Review) 代码审核 CR1 CR2 CR3 目标 随机查找基本的 通过自动化方式 必须进行全面的 目标 随机查找基本的 代码级漏洞和其 他高风险安全问 题 通过自动化方式 在开发过程中使 代码审核更加准 确和有效 必须进行全面的 代码审核过程, 以发现语言级别 和特定应用程序 题. 确和有效. 和特定应用程序 的风险. 措施 A 根据已知安全 A 使用自动化的 A 为特定应用程 措施 A. 根据已知安全 需求建立审核 检查列表;