CISO助手
完成度
0%(0/48)
评估报告
OWAS

OWASP 软件保证成熟度模型 2.0

成熟度模式

SAMM 是一个规范性模型,是一个开放的框架,易于理解、定义明确且可衡量。它帮助组织制定和实施软件安全策略。

版本: 2.0覆盖状态: 完整覆盖 (96/96)控制项/量表/总计: 48/48/96当前展示: 3 / 485 个分类

环境管理

3
O-EM-A-1你是否为技术堆栈的关键组件强化了配置?成熟度实践
Operations / 环境管理

受益于对组件的基本配置设置进行强化 活动 理解保护所使用技术栈的重要性,并根据可获取的指南(例如开源项目、供应商文档、博客文章)对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时,鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素,并根据团队的实践经验,为这些元素建立配置标准。在这个成熟度水平上,您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用,并且可能缺乏合规性监控。好处:在组织中对技术栈组件进行一致的强化。活动:为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线,请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统,并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理,并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化(例如版本更新、新功能)保持其最新。在较大的环境中,应从本地维护的主配置导出实例的配置,并应用相关的配置基线。使用自动化工具强化配置。优势 清晰了解组件配置,以避免不符合项 活动 积极监控已部署技术堆栈的安全配置,定期检查是否符合既定基线。确保配置检查的结果可以轻松获取,通过已发布的报告和仪表板提供。当您检测到不符合规范的配置时,应将每次出现视为安全问题,并在既定的缺陷管理实践中管理纠正措施。通过使用自动化措施(例如“自愈”配置和安全信息与事件管理(SIEM)警报),还可以实现进一步的收益。作为更新组件(例如...)过程的一部分新版本、供应商补丁),审查相应的基线和配置指南,并根据需要更新它们,以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查您的基线管理流程,结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准:您已经识别了每个技术栈中使用的关键组件 | 您已经为每个关键组件建立了配置标准

评估
评估状态:
评估备注:
O-EM-A-2您是否为您的组件制定了加固基线?成熟度实践
Operations / 环境管理

受益于对组件的基本配置设置进行强化 活动 理解保护所使用技术栈的重要性,并根据可获取的指南(例如开源项目、供应商文档、博客文章)对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时,鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素,并根据团队的实践经验,为这些元素建立配置标准。在这个成熟度水平上,您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用,并且可能缺乏合规性监控。好处:在组织中对技术栈组件进行一致的强化。活动:为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线,请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统,并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理,并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化(例如版本更新、新功能)保持其最新。在较大的环境中,应从本地维护的主配置中派生实例的配置,并应用相关的配置基线。使用自动化工具来强化配置。优势 清晰了解组件配置,以避免不符合项 活动 积极监控已部署技术堆栈的安全配置,定期检查是否符合既定基线。确保配置检查的结果可以轻松获取,通过已发布的报告和仪表板提供。当您检测到不符合规范的配置时,应将每次出现都视为安全问题,并在既定的缺陷管理实践中管理纠正措施。通过使用自动化手段,如“自我修复”配置和安全信息及事件管理(SIEM)警报,还可以实现进一步的收益。作为更新组件(例如新版本、供应商补丁),审查相应的基线和配置指南,并根据需要更新它们,以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查基线管理流程,结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准:您已为每个基线分配了负责人 | 负责人会保持其分配的基线更新 | 您将基线存储在可访问的位置 | 您对负责这些基线配置的员工进行培训

评估
评估状态:
评估备注:
O-EM-A-3你是否监控并执行硬化基线的合规性?成熟度实践
Operations / 环境管理

受益于对组件基础配置设置的强化 通过了解保护所使用技术栈的重要性,根据现有的指导(例如开源项目、供应商文档、博客文章)对栈元素应用安全配置。当你的团队根据试验和团队成员收集的信息为他们的应用程序制定配置指导时,鼓励他们在整个组织中分享他们的经验。识别常见技术堆栈的关键元素,并根据团队的实践经验,为这些元素建立配置标准。在这个成熟度水平上,您尚未建立管理配置基线的正式流程。配置可能无法在各个应用程序和部署中一致应用,并且可能缺乏合规性监控。好处:在组织中对技术栈组件进行一致的强化。活动:为所使用的每个技术栈中的所有组件建立配置强化基线。为了协助一致地应用加固基线,请为各个组件制定配置指南。要求产品团队将配置基线应用于所有新系统,并在可行的情况下应用于现有系统。将加固基线和配置指南纳入变更管理,并为每项分配负责人。所有者有持续的责任根据不断发展的最佳实践或相关组件的变化(例如版本更新、新功能)保持其最新。在较大的环境中,应从本地维护的主配置导出实例的配置,并应用相关的配置基线。使用自动化工具强化配置。优势 清晰了解组件配置,以避免不符合项 活动 积极监控已部署技术堆栈的安全配置,定期检查是否符合既定基线。确保配置检查的结果可以轻松获取,通过已发布的报告和仪表板展示。当您检测到不符合规范的配置时,应将每次出现都视为安全问题,并在既定的缺陷管理实践中管理纠正措施。通过使用自动化手段,如“自我修复”配置和安全信息及事件管理(SIEM)警报,还可以实现进一步的收益。作为更新组件(例如(新版本、供应商补丁),审查相应的基线和配置指南,根据需要更新它们以保持其相关性和准确性。至少每年审查其他基线和配置指南。定期审查您的基线管理流程,结合应用和维护配置基线及配置指南的团队反馈和经验教训。标准:您定期进行符合性检查,最好使用自动化工具 | 您将符合性检查结果存储在可访问的位置 | 您遵循既定流程处理报告的不符合项 | 您至少每年审查一次每个基线,并在必要时进行更新

评估
评估状态:
评估备注: