OWASP 软件保证成熟度模型 2.0

受益于对组件的基本配置设置进行强化 活动 理解保护所使用技术栈的重要性，并根据可获取的指南（例如开源项目、供应商文档、博客文章）对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时，鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素，并根据团队的实践经验，为这些元素建立配置标准。在这个成熟度水平上，您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用，并且可能缺乏合规性监控。好处：在组织中对技术栈组件进行一致的强化。活动：为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线，请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统，并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理，并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化（例如版本更新、新功能）保持其最新。在较大的环境中，应从本地维护的主配置导出实例的配置，并应用相关的配置基线。使用自动化工具强化配置。优势 清晰了解组件配置，以避免不符合项 活动 积极监控已部署技术堆栈的安全配置，定期检查是否符合既定基线。确保配置检查的结果可以轻松获取，通过已发布的报告和仪表板提供。当您检测到不符合规范的配置时，应将每次出现视为安全问题，并在既定的缺陷管理实践中管理纠正措施。通过使用自动化措施（例如“自愈”配置和安全信息与事件管理（SIEM）警报），还可以实现进一步的收益。作为更新组件（例如...）过程的一部分新版本、供应商补丁)，审查相应的基线和配置指南，并根据需要更新它们，以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查您的基线管理流程，结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准：您已经识别了每个技术栈中使用的关键组件 | 您已经为每个关键组件建立了配置标准

受益于对组件的基本配置设置进行强化 活动 理解保护所使用技术栈的重要性，并根据可获取的指南（例如开源项目、供应商文档、博客文章）对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时，鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素，并根据团队的实践经验，为这些元素建立配置标准。在这个成熟度水平上，您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用，并且可能缺乏合规性监控。好处：在组织中对技术栈组件进行一致的强化。活动：为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线，请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统，并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理，并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化（例如版本更新、新功能）保持其最新。在较大的环境中，应从本地维护的主配置中派生实例的配置，并应用相关的配置基线。使用自动化工具来强化配置。优势 清晰了解组件配置，以避免不符合项 活动 积极监控已部署技术堆栈的安全配置，定期检查是否符合既定基线。确保配置检查的结果可以轻松获取，通过已发布的报告和仪表板提供。当您检测到不符合规范的配置时，应将每次出现都视为安全问题，并在既定的缺陷管理实践中管理纠正措施。通过使用自动化手段，如“自我修复”配置和安全信息及事件管理（SIEM）警报，还可以实现进一步的收益。作为更新组件（例如新版本、供应商补丁)，审查相应的基线和配置指南，并根据需要更新它们，以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查基线管理流程，结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准：您已为每个基线分配了负责人 | 负责人会保持其分配的基线更新 | 您将基线存储在可访问的位置 | 您对负责这些基线配置的员工进行培训

受益于对组件基础配置设置的强化 通过了解保护所使用技术栈的重要性，根据现有的指导（例如开源项目、供应商文档、博客文章）对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时，鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素，并根据团队的实践经验，为这些元素建立配置标准。在这个成熟度水平上，您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用，并且可能缺乏合规性监控。好处：在组织中对技术栈组件进行一致的强化。活动：为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线，请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统，并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理，并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化（例如版本更新、新功能）保持其最新。在较大的环境中，应从本地维护的主配置导出实例的配置，并应用相关的配置基线。使用自动化工具强化配置。优势 清晰了解组件配置，以避免不符合项 活动 积极监控已部署技术堆栈的安全配置，定期检查是否符合既定基线。确保配置检查的结果可以轻松获取，通过已发布的报告和仪表板展示。当您检测到不符合规范的配置时，应将每次出现都视为安全问题，并在既定的缺陷管理实践中管理纠正措施。通过使用自动化手段，如“自我修复”配置和安全信息及事件管理（SIEM）警报，还可以实现进一步的收益。作为更新组件（例如（新版本、供应商补丁），审查相应的基线和配置指南，根据需要更新它们以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查您的基线管理流程，结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准：您定期进行符合性检查，最好使用自动化工具 | 您将符合性检查结果存储在可访问的位置 | 您遵循既定流程处理报告的不符合项 | 您至少每年审查一次每个基线，并在必要时进行更新

好处 能够检测最明显的安全事件 活动 分析可用的日志数据（例如访问日志、应用日志、基础设施日志），以根据已知的日志数据保留周期检测可能的安全事件。在小型环境中，可以借助常用命令行工具手动完成此操作。在日志量较大的情况下，应使用自动化技术。即使是一个 `cron` 任务，运行一个简单的脚本来查找可疑事件，也是一个进步！如果你将来自不同来源的日志发送到专用的日志聚合系统，在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程，也要确保在负责人员（例如…）不可用时有相应安排。由于休假或疾病）不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人，使所有流程相关方都能访问明确的文档，并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程（例如，通过培训）。该过程通常依赖高度自动化，从不同来源收集并关联日志数据，包括应用程序日志。如果合适，可以将日志集中到一个地方进行汇总。定期验证分析数据的完整性。如果添加了新的应用程序，请确保该过程在合理时间内涵盖它。使用可用的检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某一事件是安全事件（有足够高的信心）时，应立即通知相关人员，即使在非工作时间也要通知。根据情况进行进一步分析，并启动升级流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性（例如，通过跟踪变更）。确保可疑事件检测的清单至少与以下来源和知识库相关联：(i) 公司外部的来源和知识库（例如新漏洞公告影响所使用的技术）、（ii）过去的安全事件，以及（iii）威胁模型结果。对所有合理的事件场景使用日志关联来进行事件检测。如果用于事件检测的日志数据不可用，应将其缺失记录为缺陷，并根据既定的缺陷管理流程进行分类和处理。事件检测的质量不依赖于事件发生的时间或日期。如果安全事件在指定时间内（例如 20 分钟）未被确认和解决，请确保根据既定的升级路径生成进一步的通知。标准：您有一个安全事件创建的联系人 | 您根据日志数据保留期限分析数据 | 此分析的频率与您应用程序的重要性相一致

优势 能够检测最明显的安全事件 活动 分析可用的日志数据（例如访问日志、应用日志、基础设施日志），以根据已知的日志数据保留期检测可能的安全事件。在小型环境中，你可以借助常用的命令行工具手动进行此操作。在较大的日志量情况下，使用自动化技术。即使是一个 `cron` 任务，运行一个简单的脚本来查找可疑事件，也是一个进步！如果你将来自不同来源的日志发送到专用的日志聚合系统，在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程，也要确保在负责人员不可用时（例如）。由于休假或疾病）不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人，使所有流程相关方都能访问明确的文档，并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程（例如，通过培训）。该过程通常依赖高度自动化，从不同来源收集并关联日志数据，包括应用程序日志。如果合适，可以将日志集中到一个地方。定期验证分析数据的完整性。如果添加了新应用程序，请确保该过程在合理时间内涵盖它。使用可用检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某个事件是安全事件（有足够高的信心）时，应立即通知相关人员，即使在非工作时间也要通知。根据情况进行进一步分析，并启动升级流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性（例如，通过跟踪变更）。确保可疑事件检测的清单至少与公司外部的来源和知识库相关联（例如。（新公布的影响所使用技术的漏洞）、（过去的安全事件）以及（威胁模型的结果）。在所有合理的事件场景中，使用日志关联进行事件检测。如果用于事件检测的日志数据不可用，应将其缺失记录为缺陷，并根据已建立的缺陷管理流程进行分级处理和处理。事件检测的质量不取决于事件发生的时间或日期。如果安全事件在指定时间内（例如 20 分钟）未被确认和解决，请确保根据既定的升级路径生成进一步的通知。标准：该流程有专门负责人 | 您将流程文档存放在可访问的位置 | 流程考虑了进一步分析的升级路径 | 您培训负责事件检测的员工掌握此流程 | 您有潜在攻击清单以简化事件检测

好处 能够检测最明显的安全事件 活动 分析可用的日志数据（例如访问日志、应用日志、基础设施日志），以根据已知的日志数据保留周期检测可能的安全事件。在小型环境中，可以借助常用命令行工具手动完成此操作。在日志量较大的情况下，应使用自动化技术。即使是一个 `cron` 任务，运行一个简单的脚本来查找可疑事件，也是一个进步！如果你将来自不同来源的日志发送到专用的日志聚合系统，在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程，也要确保在负责人员（例如…）不可用时有相应安排。由于休假或疾病）不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人，使所有流程相关方都能访问明确的文档，并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程（例如，通过培训）。该过程通常依赖高度自动化，从不同来源收集并关联日志数据，包括应用程序日志。如果合适，可以将日志集中到一个地方。定期验证分析数据的完整性。如果添加了新应用程序，请确保该过程在合理时间内涵盖它。使用可用检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某一事件是安全事件（有足够高的信心）时，应立即通知负责的工作人员，即使在非工作时间也要通知。根据需要进行进一步分析，并启动升级处理流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性（例如，通过跟踪变更）。确保可疑事件检测的清单至少与公司外部的来源和知识库相关联（例如。（新公布的影响所使用技术的漏洞）、（ii）过去的安全事件，以及（iii）威胁模型的结果。使用日志关联进行所有合理事件场景的事件检测。如果用于事件检测的日志数据不可用，应将其缺失记录为缺陷，并根据已建立的缺陷管理流程进行分级处理和处理。事件检测的质量不取决于事件发生的时间或日期。如果安全事件在指定时间内（例如 20 分钟）未被确认或解决，请确保根据既定的升级路径生成进一步的通知。标准：您至少每年进行一次审查 | 您会根据外部和内部数据更新潜在攻击的清单

了解处理数据敏感性的好处以及可快速实现的措施 活动 了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式和不同地点保存；假设不存在全组织范围的数据目录。根据适用于所存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未经清理的敏感数据从生产环境传播到低环境。通过确保未经清理的生产数据不会传播到较低的（非生产）环境，您可以将数据保护策略和活动集中于生产环境。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录有关其类型、敏感性（分类）级别和存储位置的信息。明确识别受特定法规约束的记录或数据元素。建立关于所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计已建立的管理控制的合规性，并密切监控自动化机制的性能和运行情况，包括备份和记录删除。监控工具可以快速检测和报告自动化中的故障，使您能够及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序，以确保其与您的政策和优先事项保持一致。标准：您了解每个应用程序处理和存储的数据元素 | 您了解每个已识别数据元素的类型和敏感级别 | 您拥有防止未净化敏感数据从生产环境传播到低级环境的控制措施

了解处理数据敏感性的好处以及可快速实现的措施。活动：了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式存在并存储在不同的地方；假设不存在全组织范围的数据目录。根据适用于存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未清理的敏感数据从生产环境传播到低级环境。通过确保未经清理的生产数据不会传播到较低（非生产）环境，您可以将数据保护策略和活动集中在生产环境上。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录其类型、敏感性（分类）级别及存储位置。清楚标明受特定法规约束的记录或数据元素。建立关于您所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程的机会。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计对已建立的管理控制措施的遵循情况，并密切监控自动化机制的性能和运作，包括备份和记录删除。监控工具能快速检测并报告自动化中的故障，允许您及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序可以确保其与您的政策和优先事项保持一致。标准：数据目录存储在可访问的位置 | 您知道哪些数据元素受特定法规约束 | 您拥有在数据整个生命周期中保护和保存数据的控制措施 | 您对数据有保留要求，并在相关保留期结束后及时销毁备份

了解处理数据敏感性的好处以及可快速实现的措施。活动：了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式和不同地点保存；假设不存在全组织范围的数据目录。根据适用于所存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未经清理的敏感数据从生产环境传播到低级环境。通过确保未经清理的生产数据不会传播到较低（非生产）环境，您可以将数据保护策略和活动集中在生产环境上。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录其类型、敏感性（分类）级别和存储位置。清楚标明受特定法规约束的记录或数据元素。建立关于您所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程的机会。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计对已建立的管理控制措施的遵循情况，并密切监控自动化机制的性能和运作，包括备份和记录删除。监控工具能快速检测并报告自动化中的故障，允许您及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序可以确保其与您的政策和优先事项保持一致。标准：您拥有自动监控以检测《数据保护政策》的尝试性或实际违规行为 | 您拥有数据丢失防护、访问控制和跟踪或异常行为检测工具 | 您定期审计自动化机制的运行情况，包括备份和记录删除