OWASP 成熟度模型

软件保障成熟度模型（SAMM）

软件保证成熟度模型：Software Assurance Maturity Model (SAMM)，是一个开放的框架，帮助组织制定并实施针对组织所面临来自软件安全的特定风险的策略。

每一个安全措施定义了三个等级。
- 以证明组织是如何随着时间而改变的。
一个措施的三个等级:
- 0：隐起点，措施尚未实现
- 1：对安全实践有了初步了解并有所专门的提供
- 2：提高了安全实践的效率和(或)有效性
- 3：在一定规模上综合掌握了安全实践

策略与指标 :

0

政策与合规 :

0

教育与指导 :

0

威胁评估 :

0

安全需求 :

0

安全架构 :

0

设计审核 :

0

代码审核 :

0

安全测试 :

0

漏洞管理 :

0

环境强化 :

0

操作实现 :

0

策略与指标

SM1为组织内的软件安全建立统一的战略路线图

SM2衡量数据和软件资产的相对价值，并选择风险容忍度

SM3使安全成本与相关业务指标和资产价值相一致。

政策与合规

PC1了解组织的相关监管和合规要求

PC2建立安全和合规的基准线，并了解每个项目的风险

PC3要求合规标准，并衡量项目是否符合全组织的政策和标准

教育与指导

EG 1为开发人员提供关于以安全编程和部署为主题的资源

EG 2为软件生命周期中所有的人员提供基于角色的安全开发详细指导

EG 3实施综合的安全培训，并为员工进行基本知识的认证检验

威胁评估

TA 1确定并了解组织和单个项目的高级别威胁

TA 2提高威胁评估的准确性，并深入了解每个项目的细节

TA 3将补偿控制与对内部和第三方软件的每个威胁具体联系起来

安全需求

SR 1在软件需求分析阶段明确地将安全考虑在内

SR 2根据业务逻辑和已知风险增加安全需求的深度

SR 3为所有软件项目和第三方的附属项目强制要求安全需求

安全架构

SA 1将主动安全指导的想法引入到软件设计过程中

SA 2将软件设计过程引导向已知安全服务和默认安全设计

SA 3正式控制软件设计过程并验证安全部件的使用

设计审核

DR 1为软件设计提供专门的审核，以确保排除已知风险的最低线

DR 2根据安全的最佳实践为软件设计审核提供评估服务

DR 3需求评估并验证已完成部分，以详细了解保护机制

代码审核

CR 1随机查找基本的代码级漏洞和其他高风险安全问题。

CR 2通过自动化方式在开发过程中使代码审核更加准确和有效

CR 3必须进行全面的代码审核过程，以发现语言级别和特定应用程序的风险

安全测试

ST 1根据编程和软件需求，建立处理过程以执行基本的安全测试

ST 2通过自动化使在开发过程中的安全测试更加完善和有效

ST 3在部署前要求进行特定应用程序的安全测试以确保基本的安全

漏洞管理

VM 1理解对于漏洞报告或事件的高级别计划

VM 2为响应过程阐述期望，以改善一致性和交流

VM 3在响应过程中为积极规划提供反馈，而改善分析和数据收集

环境强化

EH 1了解应用程序和软件组件的基本操作环境

EH 2通过强化操作环境提高对应用程序操作的信心

EH 3以已知最佳实践验证应用程序的健康和操作环境状态

操作实现

OE 1实现开发团队和操作人员之间对于与安全相关的关键数据的沟通交流

OE 2通过提供详细的步骤为持续的安全操作提高期望

OE 3针对完整性而对安全信息和部件检验进行强制宣传

安全内建成熟度模型（BSIMM）

策略与指标 :

0

配置管理和漏洞管理 :

0

软件环境 :

0

渗透测试 :

0

安全测试 :

0

代码审查 :

0

架构分析 :

0

标准和要求 :

0

安全功能和设计 :

0

攻击模型 :

0

训练 :

0

合规与政策 :

0