PDF《OWASP SAMM》

B 为高风险代码 A. 使用自动化的 代码分析工具 ;

B 将代码分析集 A. 为特定应用程 序问题自定义 代码分析;

B 为代码审核建 B. 为高风险代码 执行定点审核 . B. 将代码分析集 成到开发流程 当中. B. 为代码审核建 立发布关卡. OWASP 安全测试(Security Testing) y g 安全测试 ST1 ST2 ST3 目标 根据编程和软件 通过自动化使在 在部署前要求进 目标 根据编程和软件 需求,建立处理 过程以执行基本 的安全测试. 通过自动化使在 开发过程中的安 全测试更加完善 和有效. 在部署前要求进 行特定应用程序 的安全测试以确 保基本的安全. 的安全测试. 和有效. 保基本的安全. 措施 A. 从已知安全 需求推出测试 A. 使用自动化 的安全测试工 A. 为特定应用 程序使用自动 需求推出测试 用例;

B. 为软件发布 执 的安全测试工 具;

B. 将安全测试 整合 发过 程序使用自动 化的安全测试 ;

为安全测试 执行渗透测试 . 整合到开发过 程中. B. 为安全测试 建立发布关卡 . OWASP 漏洞管理(Vulnerability Management) y g 漏洞管理 VM1 VM2 VM3 目标 理解对于漏洞报 为响应过程阐述 在响应过程中为 目标 理解对于漏洞报 告或事件的高级 别计划. 为响应过程阐述 期望,以改善一 致性和交流. 在响应过程中为 积极规划提供反 馈,而改善分析 和数据收集 和数据收集. 措施 A. 为安全事件确 A. 建立一致的事 A. 为事件执行根 措施 为安全事件确 定联络点;

B. 建立非正式安 全响应团队. 建 致的事 件响应流程;

B. 采用安全事件 报告流程. 为事件执行根 源分析;

B. 收集每一事件 的度量指标. 全响应团队. 报告流程. 的度量指标. OWASP 环境强化(Environment Hardening) g 环境强化 EH1 EH2 EH3 目标 了解应用程序和 通过强化操作环 以已知最佳实践 目标 了解应用程序和 软件组件的基本 操作环境. 通过强化操作环 境提高对应用程 序操作的信心. 以已知最佳实践 验证应用程序的 健康和操作环境 状态. 状态. 措施 A. 维护操作环境 说明 A. 建立常规补丁 管理流程 A. 确定并部署相 关操作的保护 说明;

B. 确定并安装 关键的安全软 件 管理流程;

B. 监控基准基 础架构配置状 态 关操作的保护 工具;

B. 为环境配置 审划件升级和补丁 . 态. 扩展审计计划 . OWASP 操作实现(Operational Enablement) p 操作实现 OE1 OE2 OE3 目标 实现开发团队和 通过提供详细的 针对完整性而对 操作人员之间对 于与安全相关的 关键数据的沟通 步骤为持续的安 全操作提高期望 . 安全信息和部件 检验进行强制宣 传. 关键数据的沟通 交流. 传 措施 A. 为部署获得的 重要的安全信 A. 创建每次发布 的变更管理流 A. 为操作信息扩 展操作审计计 重要的安全信 息;

B. 为典型的应用 的变更管理流 程;

B. 维护正式的 展操作........