OWASP SAMM
Что такое OWASP SAMM?
OWASP SAMMOWASP Software Assurance Maturity Model — модель для измерения и развития практик безопасной разработки ПО в организации со временем.
OWASP Software Assurance Maturity Model (SAMM) — это предписательная и измеряемая модель, помогающая организациям выстроить программу безопасности ПО, соответствующую их профилю риска. SAMM v2 строится вокруг пяти бизнес-функций (Governance, Design, Implementation, Verification, Operations), каждая из которых разбита на практики безопасности с тремя уровнями зрелости и конкретными активностями. Команды используют инструментарий SAMM, чтобы оценить текущую зрелость, задать целевые уровни и построить дорожные карты, согласующие инвестиции в AppSec с бизнес-рисками. SAMM не зависит от технологий, дополняет ISO 27001, NIST SSDF и BSIMM и широко применяется компаниями и регуляторами для объективного подтверждения зрелости AppSec.
● Примеры
- 01
CISO ежегодно проводит оценку SAMM, чтобы обосновать инвестиции в threat modeling и SAST.
- 02
Сопоставление практик SAMM с задачами NIST SSDF для подтверждения соответствия требованию федерального клиента в США.
● Частые вопросы
Что такое OWASP SAMM?
OWASP Software Assurance Maturity Model — модель для измерения и развития практик безопасной разработки ПО в организации со временем. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP SAMM?
OWASP Software Assurance Maturity Model — модель для измерения и развития практик безопасной разработки ПО в организации со временем.
Как работает OWASP SAMM?
OWASP Software Assurance Maturity Model (SAMM) — это предписательная и измеряемая модель, помогающая организациям выстроить программу безопасности ПО, соответствующую их профилю риска. SAMM v2 строится вокруг пяти бизнес-функций (Governance, Design, Implementation, Verification, Operations), каждая из которых разбита на практики безопасности с тремя уровнями зрелости и конкретными активностями. Команды используют инструментарий SAMM, чтобы оценить текущую зрелость, задать целевые уровни и построить дорожные карты, согласующие инвестиции в AppSec с бизнес-рисками. SAMM не зависит от технологий, дополняет ISO 27001, NIST SSDF и BSIMM и широко применяется компаниями и регуляторами для объективного подтверждения зрелости AppSec.
Как защититься от OWASP SAMM?
Защита от OWASP SAMM обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP SAMM?
Распространённые альтернативные названия: Software Assurance Maturity Model, SAMM.
● Связанные термины
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
- appsec№ 982
Безопасное программирование
Практика написания исходного кода, минимизирующая дефекты безопасности за счёт оборонительных паттернов, языковых правил и общепризнанных руководств.
- appsec№ 1150
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.