企业新闻

SAMM的总体框架如下图所示

2018-04-08 16:28:50 | 来源:中培企业IT培训网

SAMM的总体框架如下图所示。

SAMM的每个安全实践是一个与安全相关的措施,以便保证相关业务功能的实现。所以,从总体来说,这十二个安全实践都是改进软件开发业务功能的独立部分。

对于每一个安全实践,SAMM设置了三个成熟度等级和一个隐含的零起点。每个等级的细节对不同实践有所不同,但它们普遍代表:

0:隐含的0起点代表实际没有实现该安全实践;

1:对安全实践有了初步了解并有所专门的设计和使用;

2:进一步提高了安全实践的效率和有效性;

3:在一定规模上综合、有效地掌握了安全实践。 ‘

对于某个特定的软件开发项目或软件开发企业,使用SAMM对其进行评估,有两种推荐的评估方法:

简单方法:对每项安全实践进行评估,并为得到的评估结果评定分数;

详细方法:对每项安全实践评估后,再执行额外的审计工作,以确保每个安全实践中规定的每一项措施都已执行,且已达到成功指标。

软件企业可以参考SAMM作为基准来衡量其软件安全保证计划。通过使用评估和记分卡,软件开发企业能够证明其软件安全性得到循序渐进的改善,软件开发企业还可以参考SAMM路线网模板,以指导建立或改善一个软件安全保证计划。

标签: SAMM

猜你喜欢