CISO助手
完成度
0%(0/48)
评估报告
OWAS

OWASP 软件保证成熟度模型 2.0

成熟度模式

SAMM 是一个规范性模型,是一个开放的框架,易于理解、定义明确且可衡量。它帮助组织制定和实施软件安全策略。

版本: 2.0覆盖状态: 完整覆盖 (96/96)控制项/量表/总计: 48/48/96当前展示: 3 / 485 个分类

缺陷管理

3
I-DM-A-1您是否在可访问的位置跟踪所有已知的安全缺陷?成熟度实践
Implementation / 缺陷管理

已知影响特定应用程序的安全缺陷的收益透明度 活动 引入安全缺陷的通用定义/理解,并定义识别这些缺陷的最常见方法。这些通常包括但不限于:威胁评估、渗透测试、静态和动态分析扫描工具的输出、负责任的披露流程或漏洞赏金。培养透明文化,避免指责任何团队引入或发现安全缺陷。将所有安全缺陷记录并跟踪在指定位置。这个位置不一定必须对整个组织来说是集中式的,但要确保您能够在任何时间点概览影响特定应用程序的所有缺陷。定义并应用跟踪的安全缺陷的访问规则,以降低信息泄露和滥用的风险。至少引入安全缺陷的初步定性分类,以便能够相应地优先处理修复工作。努力减少信息重复和误报的存在,以提高流程的可信度。好处 对安全缺陷进行一致的分类,并明确其处理预期。 活动 在整个组织中一致地引入并应用明确定义的安全缺陷评级方法,基于缺陷被利用的概率和预期影响。这将帮助您识别需要更多关注和投资的应用程序。如果你没有集中存储有关安全缺陷的信息,请确保仍然能够轻松地从所有来源获取信息,并对需要关注的“热点”进行概览。根据安全缺陷的严重性等级引入按时修复的服务水平协议(SLA),并集中监控及定期报告SLA违约情况。为在服务级别协议(SLA)规定的时间内无法或不经济修复缺陷的情况定义一个流程。这至少应确保所有相关利益相关者对所施加的风险有充分的了解。如果适用,可针对这些情况采取补偿性控制措施。即使您没有针对低严重性缺陷的正式服务级别协议(SLA),也要确保相关团队仍能定期了解影响其应用程序的问题,并理解特定问题如何相互影响或放大。益处:确保安全缺陷在预定义的SLA内得到处理。活动:如果修复时间超过定义的SLA,则实施对安全缺陷的自动警报。确保这些缺陷能自动转入风险管理流程,并通过一致的量化方法进行评估。评估特定缺陷如何相互影响/放大,不仅在各个团队层面上,而且在整个组织层面上。利用完整杀伤链的知识来优先排序、引入并跟踪减轻相应业务风险的补偿控制措施。将缺陷管理系统与其他实践引入的自动化工具集成,例如构建与部署:如果安全缺陷达到某一严重级别并影响最终产物,则使构建/部署过程失败,除非有人明确批准例外。监控:如果可能,确保在生产环境中滥用安全缺陷的行为能够被识别并发出警报。标准:您可以轻松概览影响一个应用程序的所有安全缺陷 | 您至少拥有一个基本的分类方案 | 该流程包含处理误报和重复条目的策略 | 缺陷管理系统涵盖来自各种来源和活动的缺陷

评估
评估状态:
评估备注:
I-DM-A-2您是否掌握整个组织中安全缺陷的总体情况?成熟度实践
Implementation / 缺陷管理

已知影响特定应用程序的安全缺陷的收益透明度 活动 引入对安全缺陷的共同定义/理解,并定义识别这些缺陷的最常见方法。这些通常包括但不限于:威胁评估、渗透测试、静态和动态分析扫描工具的输出、负责任的披露流程或漏洞赏金。培养透明文化,避免指责任何团队引入或发现安全缺陷。将所有安全缺陷记录并跟踪在指定位置。这个位置不一定必须对整个组织来说是集中式的,但要确保您能够在任何时间点概览影响特定应用程序的所有缺陷。定义并应用跟踪的安全缺陷的访问规则,以降低信息泄露和滥用的风险。至少引入安全缺陷的初步定性分类,以便能够相应地优先处理修复工作。努力减少信息重复和误报的存在,以提高流程的可信度。好处 对安全缺陷进行一致的分类,并明确其处理预期。 活动 在整个组织中一致地引入并应用明确定义的安全缺陷评级方法,基于缺陷被利用的概率和预期影响。这将帮助您识别需要更多关注和投资的应用程序。如果你没有集中存储有关安全缺陷的信息,请确保仍然能够轻松地从所有来源获取信息,并对需要关注的“热点”进行概览。根据安全缺陷的严重性等级引入按时修复的服务水平协议(SLA),并集中监控及定期报告SLA违约情况。为在服务级别协议(SLA)规定的时间内无法或不经济修复缺陷的情况定义一个流程。这至少应确保所有相关利益相关者对所施加的风险有充分的了解。如果适用,可针对这些情况采取补偿性控制措施。即使您没有针对低严重性缺陷的正式服务级别协议(SLA),也要确保相关团队仍能定期了解影响其应用程序的问题,并理解特定问题如何相互影响或放大。益处:确保安全缺陷在预定义的SLA内得到处理。活动:如果修复时间超过定义的SLA,则实施对安全缺陷的自动警报。确保这些缺陷能自动转入风险管理流程,并通过一致的量化方法进行评估。评估特定缺陷如何相互影响/放大,不仅在各个团队层面上,而且在整个组织层面上。利用完整杀伤链的知识来优先排序、引入并跟踪减轻相应业务风险的补偿性控制措施。将你的缺陷管理系统与其他实践引入的自动化工具集成,例如。构建与部署:如果安全缺陷达到某一严重级别并影响最终产物,则使构建/部署过程失败,除非有人明确批准例外。监控:如果可能,确保在生产环境中滥用安全缺陷的行为能够被识别并发出警报。标准:在整个组织中对所有缺陷应用单一严重性方案 | 该方案包括针对特定严重性类别的修复服务水平协议(SLA) | 您定期报告对SLA的遵守情况

评估
评估状态:
评估备注:
I-DM-A-3你们是否对修复安全缺陷执行服务水平协议(SLA)?成熟度实践
Implementation / 缺陷管理

已知影响特定应用程序的安全缺陷的收益透明度 活动 引入对安全缺陷的共同定义/理解,并定义识别这些缺陷的最常见方法。这些通常包括但不限于:威胁评估、渗透测试、静态和动态分析扫描工具的输出、负责任的披露流程或漏洞赏金。培养透明文化,避免指责任何团队引入或发现安全缺陷。将所有安全缺陷记录并跟踪在指定位置。这个位置不一定必须对整个组织来说是集中式的,但要确保您能够在任何时间点获取特定应用程序的所有缺陷的概览。为跟踪的安全缺陷定义并应用访问规则,以降低信息泄露和滥用的风险。至少引入安全缺陷的初步定性分类,以便能够相应地优先处理修复工作。努力减少信息重复和误报的存在,以提高流程的可信度。好处 对安全缺陷进行一致的分类,并明确其处理预期。 活动 在整个组织中一致地引入并应用明确定义的安全缺陷评级方法,基于缺陷被利用的概率和预期影响。这将帮助您识别需要更多关注和投资的应用程序。如果你没有集中存储有关安全缺陷的信息,请确保仍然能够轻松地从所有来源获取信息,并对需要关注的“热点”进行概览。根据安全缺陷的严重性等级引入按时修复的服务水平协议(SLA),并集中监控及定期报告SLA违约情况。为在服务级别协议(SLA)规定的时间内无法或不经济修复缺陷的情况定义一个流程。这至少应确保所有相关利益相关者对所施加的风险有充分的了解。如果适用,可针对这些情况采取补偿性控制措施。即使您没有针对低严重性缺陷的正式服务级别协议(SLA),也要确保相关团队仍能定期了解影响其应用程序的问题,并理解特定问题如何相互影响或放大。益处:确保安全缺陷在预定义的SLA内得到处理。活动:如果修复时间超过定义的SLA,则实施对安全缺陷的自动警报。确保这些缺陷能自动转入风险管理流程,并通过一致的量化方法进行评估。评估特定缺陷如何相互影响/放大,不仅在各个团队层面上,而且在整个组织层面上。利用完整杀伤链的知识来优先排序、引入并跟踪减轻相应业务风险的补偿性控制措施。将你的缺陷管理系统与其他实践引入的自动化工具集成,例如。构建与部署:如果安全缺陷达到某一严重级别并影响最终产物,则使构建/部署过程失败,除非有人明确批准例外。监控:如果可能,确保在生产环境中滥用安全缺陷的行为能够被识别并发出警报。标准:您会自动警报服务水平协议(SLA)违约情况,并将相应缺陷转移到风险管理流程中 | 您将相关工具(例如监控、构建、部署)与缺陷管理系统集成

评估
评估状态:
评估备注: