OWASP SAMM
OWASP SAMM 是什么?
OWASP SAMMOWASP 软件保障成熟度模型,用于持续衡量和改进组织安全软件开发实践的框架。
OWASP 软件保障成熟度模型(SAMM)是一个可衡量、可处方化的框架,帮助组织根据其风险特征构建并实施软件安全计划。SAMM v2 围绕治理、设计、实施、验证和运营五大业务职能展开,每项职能拆分为安全实践,并包含三个成熟度等级及具体活动。团队使用 SAMM 工具箱评估当前成熟度、定义目标水平,并制定将 AppSec 投入与业务风险对齐的路线图。SAMM 与技术无关,常与 ISO 27001、NIST SSDF、BSIMM 配合使用,被需要客观 AppSec 成熟度证据的企业和监管机构广泛采用。
● 示例
- 01
CISO 每年开展 SAMM 评估,为投资威胁建模与 SAST 能力提供依据。
- 02
将 SAMM 实践映射到 NIST SSDF 的任务,用以满足美国联邦客户的合规要求。
● 常见问题
OWASP SAMM 是什么?
OWASP 软件保障成熟度模型,用于持续衡量和改进组织安全软件开发实践的框架。 它属于网络安全的 合规与框架 分类。
OWASP SAMM 是什么意思?
OWASP 软件保障成熟度模型,用于持续衡量和改进组织安全软件开发实践的框架。
OWASP SAMM 是如何工作的?
OWASP 软件保障成熟度模型(SAMM)是一个可衡量、可处方化的框架,帮助组织根据其风险特征构建并实施软件安全计划。SAMM v2 围绕治理、设计、实施、验证和运营五大业务职能展开,每项职能拆分为安全实践,并包含三个成熟度等级及具体活动。团队使用 SAMM 工具箱评估当前成熟度、定义目标水平,并制定将 AppSec 投入与业务风险对齐的路线图。SAMM 与技术无关,常与 ISO 27001、NIST SSDF、BSIMM 配合使用,被需要客观 AppSec 成熟度证据的企业和监管机构广泛采用。
如何防御 OWASP SAMM?
针对 OWASP SAMM 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP SAMM 还有哪些其他名称?
常见的别称包括: 软件保障成熟度模型, SAMM。
● 相关术语
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- appsec№ 982
安全编码
在编写源代码时遵循防御性模式、语言特定规则与公认指南,以最大程度减少安全缺陷的实践。
- appsec№ 1150
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。