软件保障成熟度模型
我们的使命是为您提供一种有效且可衡量的方式来分析和改进您的安全开发生命周期。 SAMM 支持完整的软件生命周期,并且与技术和流程无关。我们构建的 SAMM 本质上是不断发展和风险驱动的,因为没有一种单一的配方适用于所有组织。
奥瓦斯萨姆 |OWASP基金会
在线查看 OWASP SAMM v2 模型:
SAMM成熟度模型包含5个大方向(治理、设计、实施、验证、运营)和15个域(战略、政策合规、教育指导、威胁评估、安全需求……)
每个域分为两条线StreamA、StreamB进行评分,AB关注点不同,举个栗子:
“安全测试”分为streamA、streamB两条线,A线属于基准要求(1级:使用自动化安全测试工具;2级:使用特定应用的安全测试自动化;3级:将自动化安全测试集成至构建和部署流程),B线属于深入的需求(1级:对于高风险组件执行人工安全测试;2级:执行人工渗透测试;3级:将安全测试集成到开发过程中)。
软件保障成熟度模型 (SAMM) 是一个开放框架,用于 帮助组织制定和实施软件战略 针对组织面临的特定风险量身定制的安全性。 SAMM 可帮助您:
- 评估组织现有的软件安全实践
- 在以下领域构建平衡的软件安全保障计划 定义明确的迭代
- 展示对安全保证的具体改进 程序
- 在整个过程中定义和衡量与安全相关的活动 组织
成熟度得分
可参考 企业信息安全模型(成熟度模型)_信息安全成熟度-CSDN博客
3类企业的SDL建设roadmap|收官课回顾
roadmap
3类企业的SDL建设路线图
针对不同类型的企业遵循不同的roadmap
版本下载:
OWASP SAMM中文Alpha版
OWASP SAMM 2.0
原项目链接:
OWASP SAMM
项目培训:
OWASP SAMM培训