|
软件保证成熟度模型(Software Assurance Maturity Model,SAMM)最初是由独立软件安全顾问Pravir Chandra创建,并由Fortify软件公司资助。SAMM于2009年正式发布1.0版本,目前由OWASP组织作为一个开放的项目来维护。 SAMM提供了一个开放的框架,用以帮助软件公司制定并实施所面临来自软件安全的特定风险的策略,SAMM提供的资源可用于以下方面: 1.评估一个组织已有的软件安全实践; 2.建立一个迭代的权衡的软件安全保证计划; 3.证明安全保证计划带来的实质性改善; 4.定义并衡量组织中与安全相关的措施。 SAMM规定了4个软件开发过程中的核心业务功能,包括治理、构造、验证以及部署。这4个业务功能各包括了3个安全实践。每个业务功能具体如下: 1.治理:专注软件开发企业组织管理其软件安全开发相关的过程、活动和措施,主要包括策略与指标、教育与指导、政策与遵守等三项安全实践。 2.构造:关注与软件安全开发中需求、目标和架构方面的过程、活动和措施,主要包括安全需求、威胁评估和安全架构3个方面的安全实践。 3.验证:注重软件检查和测试中的过程、活动和措施,主要包括设计审核、安全测试和代码审核三项安全实践。 4.部署:强调了软件发布和部署配置时相关的过程、活动和措施,主要包括环境强化、漏洞管理和操作启用3项安全实践。 【出处】朱胜涛,温哲,位华,张晓菲, 沈传宁.注册信息安全专业人员培训教材.北京师范大学出版社,2019年5月第1版.
| 
发表于 2025-11-3 08:26:46