OWASP 软件保证成熟度模型 2.0
成熟度模式SAMM 是一个规范性模型,是一个开放的框架,易于理解、定义明确且可衡量。它帮助组织制定和实施软件安全策略。
策略与指标
6好处 共同理解贵组织的安全状况 活动 根据应用程序的风险暴露情况,了解现有或可能存在的威胁,以及高层领导对这些风险的容忍度。这种理解是确定软件安全保障优先级的关键组成部分。为了确定这些威胁,请采访企业主和利益相关者,并记录组织所在行业特有的驱动因素以及组织本身特有的驱动因素。收集的信息包括可能影响组织的最坏情况,以及通过优化的软件开发生命周期和更安全的应用程序可能提供的市场差异化或创造额外机会。收集的信息为组织开发和推进其应用程序安全计划提供了基准。项目中的事项按优先顺序处理,以应对对组织最重要的威胁和机遇。基线被分为若干风险因素和驱动因素,这些因素与组织的优先事项直接相关,并用于通过记录每个自定义开发应用程序在被破坏时可能对组织造成的影响,帮助建立其风险概况。基线和个体风险因素应予以公布,并提供给应用开发团队,以确保在创建应用风险概况和将组织优先事项纳入项目过程时更加透明。此外,这些目标应提供一组具体的目标,用于确保所有应用程序安全计划的改进能够直接支持组织当前和未来的需求。可用收益及已商定的应用安全(AppSec)计划路线图 基于资产规模、威胁和风险承受能力,制定安全战略计划和预算,以应对与应用安全相关的业务优先事项。该计划涵盖1至3年,并包括与组织的业务驱动因素和风险相一致的里程碑。它提供战术和战略举措,并遵循一条使其与业务优先事项和需求保持一致的路线图。在路线图中,在需要财务支出的变更、流程和程序的变更以及影响组织文化的变更之间达到平衡。这种平衡有助于同时实现多个里程碑,同时不会过度消耗可用资源或开发团队。里程碑的频率足以帮助监控项目成功并触发及时的路线图调整。为了使项目成功,应用安全团队需要获得组织的相关利益者和应用开发团队的支持。已发布的计划可供任何需要支持或参与其实施的人使用。益处:使持续的应用安全程序与组织的业务目标保持一致。活动:您会定期审查应用安全计划,以确保其持续适用,并支持组织不断变化的需求和未来的发展。为此,您需要每年至少重复执行本安全实践前两个成熟度级别的步骤。其目标是确保计划始终支持组织的当前和未来需求,从而保证该计划与业务保持一致。除了审查业务驱动因素外,组织还会密切监控每个路线图里程碑的实施成功情况。您根据多种标准评估里程碑的成功,包括实施的完整性和效率、预算考虑以及该计划可能带来的任何文化影响或变化。您还会审查未完成或不令人满意的里程碑,并评估对整体项目可能的调整。该组织为负责软件开发的管理层和团队开发仪表板和衡量指标,以监控路线图的实施情况。这些仪表板足够详细,能够识别各个项目和举措,并清晰地了解该计划是否成功以及是否符合组织的需求。标准:您需要把握组织高层管理的风险偏好 | 组织领导审核并批准风险清单 | 您需要识别对资产和数据的主要业务和技术威胁 | 您需要记录风险并存储在易于访问的位置
好处 共同理解贵组织的安全状况 活动 根据应用程序的风险暴露情况,了解现有或可能存在的威胁,以及高层管理对这些风险的容忍度。这种理解是确定软件安全保障优先级的关键组成部分。为了确定这些威胁,请采访企业主和利益相关者,并记录组织所在行业特有的驱动因素以及组织本身特有的驱动因素。收集的信息包括可能影响组织的最坏情况,以及通过优化的软件开发生命周期和更安全的应用程序可能提供的市场差异化或创造额外机会。收集的信息为组织开发和推进其应用程序安全计划提供了基线。项目中的事项按优先顺序处理,以应对对组织最重要的威胁和机遇。基线被分为若干风险因素和驱动因素,这些因素与组织的优先事项直接相关,并用于通过记录每个自定义开发应用程序在被破坏时可能对组织造成的影响,帮助建立其风险概况。基线和个体风险因素应予以公布,并提供给应用开发团队,以确保在创建应用风险概况和将组织优先事项纳入项目过程时更加透明。此外,这些目标应提供一系列具体目标,用于确保所有应用程序安全计划的改进能够直接支持组织当前和未来的需求。可用收益及已商定的应用安全(AppSec)计划路线图 基于资产规模、威胁和风险承受能力,制定安全战略计划和预算,以应对与应用安全相关的业务优先事项。该计划涵盖1至3年,并包括与组织的业务驱动因素和风险相一致的里程碑。它提供战术和战略举措,并遵循一条使其与业务优先事项和需求保持一致的路线图。在路线图中,在需要财务支出的变更、流程和程序的变更以及影响组织文化的变更之间达到平衡。这种平衡有助于同时实现多个里程碑,同时不会过度消耗可用资源或开发团队。里程碑的频率足以帮助监控项目成功并触发及时的路线图调整。为了使项目成功,应用安全团队需要获得组织的相关利益者和应用开发团队的支持。已发布的计划可供任何需要支持或参与其实施的人使用。益处:使持续的应用安全程序与组织的业务目标保持一致。活动:您会定期审查应用安全计划,以确保其持续适用,并支持组织不断变化的需求和未来的发展。为此,您需要每年至少重复执行本安全实践前两个成熟度级别的步骤。其目标是确保计划始终支持组织的当前和未来需求,从而保证该计划与业务保持一致。除了审查业务驱动因素外,组织还会密切监控每个路线图里程碑的实施成功情况。您根据多种标准评估里程碑的成功,包括实施的完整性和效率、预算考虑以及该计划可能带来的任何文化影响或变化。您会审查未达标或不令人满意的里程碑,并评估对整体项目可能的调整。该组织为负责软件开发的管理层和团队开发仪表板和衡量指标,以监控路线图的实施情况。这些仪表板足够详细,能够识别各个项目和举措,并清晰地了解该计划是否成功以及是否符合组织的需求。标准:计划反映了组织的业务优先事项和风险偏好 | 计划包括可衡量的里程碑和预算 | 计划与组织的业务推动因素和风险一致 | 计划为战略和战术举措制定了路线图 | 您已获得包括开发团队在内的利益相关者的支持
好处 共同理解贵组织的安全状况 活动 根据应用程序的风险暴露情况,了解现有或可能存在的威胁,以及高层领导对这些风险的容忍度。这种理解是确定软件安全保障优先级的关键组成部分。为了确定这些威胁,请采访企业主和利益相关者,并记录组织所在行业特有的驱动因素以及组织本身特有的驱动因素。收集的信息包括可能影响组织的最坏情况,以及通过优化的软件开发生命周期和更安全的应用程序可能提供的市场差异化或创造额外机会。收集的信息为组织开发和推进其应用程序安全计划提供了基线。项目中的事项按优先顺序处理,以应对对组织最重要的威胁和机遇。基线被分为若干风险因素和驱动因素,这些因素与组织的优先事项直接相关,并用于通过记录每个自定义开发应用程序在被破坏时可能对组织造成的影响,帮助建立其风险概况。基线和个体风险因素应予以公布,并提供给应用开发团队,以确保在创建应用风险概况和将组织优先事项纳入项目过程时更加透明。此外,这些目标应提供一组具体的目标,用于确保所有应用程序安全计划的改进能够直接支持组织当前和未来的需求。可用收益及已商定的应用安全(AppSec)计划路线图 基于资产规模、威胁和风险承受能力,制定安全战略计划和预算,以应对与应用安全相关的业务优先事项。该计划涵盖1到3年,并包括与组织的业务驱动因素和风险相一致的里程碑。它提供战术和战略举措,并遵循一条使其与业务优先事项和需求保持一致的路线图。在路线图中,需要在需要财务支出的变更、流程和程序的变更以及影响组织文化的变更之间取得平衡。这种平衡有助于同时实现多个里程碑,同时不会过度消耗可用资源或开发团队。里程碑的频率足以帮助监控项目成功并触发及时的路线图调整。为了使项目成功,应用安全团队需要获得组织的相关利益者和应用开发团队的支持。已发布的计划可供任何需要支持或参与其实施的人使用。益处:使持续的应用安全程序与组织的业务目标保持一致。活动:您会定期审查应用安全计划,以确保其持续适用,并支持组织不断变化的需求和未来的发展。为此,您需要每年至少重复执行本安全实践前两个成熟度级别的步骤。其目标是让计划始终支持组织的当前和未来需求,从而确保该计划与业务保持一致。除了审查业务驱动因素外,组织还会密切监控每个路线图里程碑的实施成功情况。您根据多种标准评估里程碑的成功,包括实施的完整性和效率、预算考虑以及该计划可能带来的任何文化影响或变化。您会审查未达标或不令人满意的里程碑,并评估对整体项目可能的调整。该组织为负责软件开发的管理层和团队开发仪表板和衡量指标,以监控路线图的实施情况。这些仪表板足够详细,能够识别各个项目和举措,并清晰地了解该项目是否成功以及是否符合组织的需求。标准:您会根据业务环境、组织或其风险偏好的重大变化审查并更新计划 | 计划更新步骤包括与所有相关方一起审查计划,并更新业务驱动因素和战略 | 您会根据已完成的路线图活动中获得的经验教训调整计划和路线图 | 您会发布路线图活动的进展信息,确保所有相关方都能获取这些信息
好处 了解您的应用安全(AppSec)计划的有效性和效率 活动 定义并记录用于评估应用安全计划有效性和效率的指标。这样,改进是可衡量的,并且您可以利用这些改进来确保未来对该计划的支持和资金。考虑到大多数开发环境的动态性质,指标应包括以下类别的测量:`工作量`指标衡量在安全方面投入的工作量。例如培训时间、进行代码审查所花费的时间,以及扫描漏洞的应用程序数量。`结果`指标衡量安全工作取得的成果。示例包括存在安全缺陷的未修补补丁数量以及涉及应用程序漏洞的安全事件数量。`环境`指标衡量安全工作进行的环境。示例包括应用程序数量或代码行数,用以衡量难度或复杂性。每个指标本身都对特定用途有用,但将两个或三个指标结合在一起有助于解释指标趋势的峰值。例如,总漏洞数量的激增可能是由于组织上线了几个以前未受应用安全机制保护的新应用程序所导致的。或者,如果环境指标增加而努力或结果没有相应增加,这可能表明安全计划已经成熟且高效。在识别指标时,通常建议坚持使用符合多个标准的指标:持续测量、收集成本低、以基数或百分比表示、以计量单位表示。记录指标,并包括数据收集的最佳和最有效方法的描述,以及将各个度量组合成有意义指标的推荐方法。例如,单独来看,多个应用程序的数量和所有应用程序的总缺陷数可能没什么用,但当将它们结合为每个应用程序的未解决高严重性缺陷数量时,它们会提供一个更具操作性的指标。应用安全计划绩效的透明化效益 一旦组织定义了其应用安全指标,就收集足够的信息以制定切实可行的目标。测试已识别的指标,确保能够在短时间内持续高效地收集数据。在初步测试期之后,组织应有足够的信息来确定通过关键绩效指标(KPI)表达的目标和宗旨。虽然有几种指标可用于监控信息安全计划及其有效性,但KPI是由最有意义和最有效的度量指标组成的。旨在将应用程序开发环境中常见的波动从关键绩效指标中剔除,以减少由于临时或误导性的个别测量结果导致的不利数字的可能性。将关键绩效指标基于被认为对信息安全专业人员以及负责应用程序整体成功的个人和组织领导层都具有价值的指标。将关键绩效指标视为整个项目成功的确定性指标,并认为它们是可操作的。完整记录关键绩效指标,并分发给对项目成功有所贡献的团队以及组织的领导层。理想情况下,应简要说明每个关键绩效指标的信息来源,以及数字高或低的含义。包括短期和长期目标,以及需要立即干预的不合格测量范围。与应用安全和应用开发团队共享行动计划,以确保组织目标和宗旨得到充分透明的理解。好处 根据结果持续改进您的项目 活动 根据关键绩效指标(KPI)和其他应用安全指标,制定影响应用安全项目的指南。这些指南结合了应用开发过程和流程的成熟度与不同的指标,从而提升项目的效率。以下示例展示了测量与发展和改进应用程序安全方式之间的关系。关注开发生命周期的成熟度,通过主动应用安全措施可以降低每个缺陷的相对成本。监控努力、结果和环境指标之间的平衡可以提高程序的效率,并为额外的自动化及其他改进整体应用安全基线的方法提供依据。个别安全实践可以提供各个应用安全举措成功或失败的指标。工作量指标有助于确保应用程序安全工作集中在更相关和重要的技术和领域。在定义整体指标策略时,要牢记最终目标,并尽早明确可以根据关键绩效指标(KPI)和指标的变化做出的决策,以帮助指导指标的开发。标准:您需要记录每个指标,包括来源描述、测量覆盖范围,以及如何使用这些指标来解释应用程序安全趋势的指导 | 指标包括努力、结果和环境测量类别的衡量 | 大多数指标测量频繁,易于或成本低廉收集,并以基数或百分比表示 | 应用程序安全和开发团队会发布这些指标
好处 了解您的应用安全(AppSec)计划的有效性和效率 活动 定义并记录用于评估应用安全计划有效性和效率的指标。这样,改进是可衡量的,并且您可以利用这些改进来确保未来对该计划的支持和资金。考虑到大多数开发环境的动态性质,指标应包括以下类别的测量:`工作量`指标衡量在安全方面投入的工作量。例如培训时间、进行代码审查所花费的时间,以及扫描漏洞的应用程序数量。`结果`指标衡量安全工作取得的成果。示例包括存在安全缺陷的未修补补丁数量以及涉及应用程序漏洞的安全事件数量。`环境`指标衡量安全工作进行的环境。示例包括应用程序数量或代码行数,用以衡量难度或复杂性。每个指标本身都对特定用途有用,但将两个或三个指标结合在一起有助于解释指标趋势的峰值。例如,总漏洞数量的激增可能是由于组织上线了几个以前未受应用安全机制保护的新应用程序所导致的。或者,如果环境指标增加而努力或结果没有相应增加,这可能表明安全计划已经成熟且高效。在识别指标时,通常建议坚持使用符合多个标准的指标:持续测量、收集成本低、以基数或百分比表示、以计量单位表示。记录指标,并包括用于收集数据的最佳和最有效方法的描述,以及将各个指标组合成有意义指标的推荐方法。例如,单独来看,多个应用程序的数量和所有应用程序的总缺陷数可能没什么用,但当将它们结合为每个应用程序的未解决高严重性缺陷数量时,它们会提供一个更具操作性的指标。应用安全计划绩效的透明化效益 一旦组织定义了其应用安全指标,就收集足够的信息以制定切实可行的目标。测试已识别的指标,确保能够在短时间内持续高效地收集数据。在初步测试期之后,组织应有足够的信息来确定通过关键绩效指标(KPI)表达的目标和宗旨。虽然有几种指标可用于监控信息安全计划及其有效性,但KPI是由最有意义和最有效的度量指标组成的。旨在将应用程序开发环境中常见的波动从关键绩效指标中剔除,以减少由于临时或误导性的个别测量结果导致不利数字的可能性。将关键绩效指标基于被认为对信息安全专业人员以及负责应用程序整体成功的个人和组织领导层都具有价值的指标。将关键绩效指标视为整个项目成功的确定性指标,并认为它们是可操作的。完整记录关键绩效指标,并分发给对项目成功做出贡献的团队以及组织领导层。理想情况下,应简要说明每个关键绩效指标的信息来源,以及数字高或低的含义。包括短期和长期目标,以及需要立即干预的不合格测量范围。与应用安全和应用开发团队共享行动计划,以确保组织目标和宗旨得到充分透明的理解。好处 根据结果持续改进您的项目 活动 根据关键绩效指标(KPI)和其他应用安全指标,制定影响应用安全项目的指南。这些指南结合了应用开发过程和流程的成熟度与不同的指标,以提高项目的效率。以下示例展示了测量与发展和改进应用程序安全方式之间的关系。关注开发生命周期的成熟度,通过主动应用安全措施可以降低每个缺陷的相对成本。监控努力、结果和环境指标之间的平衡可以提高程序的效率,并为额外的自动化及其他改进整体应用安全基线的方法提供依据。个别安全实践可以提供各个应用安全举措成功或失败的指标。工作量指标有助于确保应用程序安全工作集中在更相关和重要的技术和领域。在定义整体指标策略时,要牢记最终目标,并尽早明确可以根据关键绩效指标(KPI)和指标的变化做出的决策,以帮助指导指标的开发。标准:您在收集了足够的信息以设定实际目标后定义了关键绩效指标(KPI) | 您在获得领导层及负责应用安全的团队认可的情况下制定了KPI | 应用团队可以获取KPI,并且KPI包括可接受的阈值及在团队需要采取行动时的指导 | 应用安全计划的成功可以通过定义的KPI清晰地体现
好处 了解您的应用安全(AppSec)计划的有效性和效率 活动 定义并记录用于评估应用安全计划有效性和效率的指标。这样,改进是可衡量的,并且您可以利用这些改进来确保未来对该计划的支持和资金。考虑到大多数开发环境的动态性质,指标应包括以下类别的测量:`工作量`指标衡量在安全方面投入的工作量。例如培训小时数、进行代码审查所花费的时间以及扫描漏洞的应用程序数量。`结果`指标衡量安全工作所取得的成果。示例包括存在安全缺陷的未修补补丁数量以及涉及应用程序漏洞的安全事件数量。`环境`指标衡量安全工作进行的环境。示例包括应用程序数量或代码行数,用以衡量难度或复杂性。每个指标本身都对特定用途有用,但将两个或三个指标结合在一起有助于解释指标趋势的峰值。例如,总漏洞数量的激增可能是由于组织上线了几个以前未受应用安全机制保护的新应用程序所导致的。或者,如果环境指标增加而努力或结果没有相应增加,这可能表明安全计划已经成熟且高效。在识别指标时,通常建议坚持使用符合几个标准的指标:持续测量、收集成本低、以基数或百分比表示、以计量单位表示。记录指标,并包括用于收集数据的最佳和最有效方法的描述,以及将各个指标组合成有意义指标的推荐方法。例如,单独来看,多个应用程序的数量和所有应用程序的总缺陷数可能没什么用,但当将它们结合为每个应用程序的未解决高严重性缺陷数量时,它们会提供一个更具操作性的指标。应用安全计划绩效的透明化效益 一旦组织定义了其应用安全指标,就收集足够的信息以制定切实可行的目标。测试已识别的指标,确保能够在短时间内持续高效地收集数据。在初步测试期之后,组织应有足够的信息来确定通过关键绩效指标(KPI)表达的目标和宗旨。虽然有几种指标可用于监控信息安全计划及其有效性,但KPI是由最有意义和最有效的度量指标组成的。旨在将应用程序开发环境中常见的波动从关键绩效指标中剔除,以减少因临时或误导性的个别测量而导致不利结果的可能性。将关键绩效指标基于被认为对信息安全专业人员以及负责应用程序整体成功的个人和组织领导层都具有价值的指标。将关键绩效指标视为整个项目成功的确定性指标,并认为它们是可操作的。完整记录关键绩效指标,并分发给对项目成功做出贡献的团队以及组织领导层。理想情况下,应简要说明每个关键绩效指标的信息来源,以及数字高或低的含义。包括短期和长期目标,以及需要立即干预的不合格测量范围。与应用安全和应用开发团队共享行动计划,以确保组织目标和宗旨得到充分透明的理解。好处 根据结果持续改进您的项目 活动 根据关键绩效指标(KPI)和其他应用安全指标,制定影响应用安全项目的指南。这些指南结合了应用开发过程和流程的成熟度与不同的指标,以提高项目的效率。以下示例展示了测量与发展和改进应用程序安全方式之间的关系。关注开发生命周期的成熟度,通过主动应用安全措施可以降低每个缺陷的相对成本。监控努力、结果和环境指标之间的平衡可以提高程序的效率,并为额外的自动化及其他改进整体应用安全基线的方法提供依据。个别安全实践可以提供各个应用安全举措成功或失败的指标。工作量指标有助于确保应用程序安全工作集中在更相关和重要的技术和领域。在定义整体指标策略时,要牢记最终目标,并尽早明确通过关键绩效指标和指标的变化可以做出哪些决策,以帮助指导指标的开发。标准:您至少每年评估一次关键绩效指标(KPI)的效率和有效性 | KPI 和应用安全指标触发大部分应用安全策略的调整