CISO助手
完成度
0%(0/48)
评估报告
OWAS

OWASP 软件保证成熟度模型 2.0

成熟度模式

SAMM 是一个规范性模型,是一个开放的框架,易于理解、定义明确且可衡量。它帮助组织制定和实施软件安全策略。

版本: 2.0覆盖状态: 完整覆盖 (96/96)控制项/量表/总计: 48/48/96当前展示: 3 / 485 个分类

架构评估

3
V-AA-A-3您是否定期审查安全控制措施的有效性?成熟度实践
Verification / 架构评估

确保架构控制措施有效性的好处 活动 审查架构组件及其提供的安全机制的有效性,评估其是否与组织的整体战略保持一致,并仔细审查所选择的安全解决方案在可用性、可扩展性和企业适用性方面的程度。虽然针对特定应用的战术选择在特定情境下可能有其合理性,但重要的是要关注整体情况,确保所设计的解决方案具备未来的适应性。将任何发现反馈到缺陷管理中,以促进对架构的进一步改进。益处 理解高级架构和合理的安全措施 活动 创建整体架构视图,并检查其是否正确提供了一般安全机制,如身份验证、授权、用户和权限管理、安全通信、数据保护、密钥管理和日志管理。同时考虑对隐私的支持。根据项目产出物,如架构或设计文档,或与业务负责人和技术人员的访谈来执行此操作。还要考虑基础设施组件——这些是所有非特定于应用程序的系统、组件和库(包括 SDK),但它们为组织中应用程序的使用或管理提供直接支持。注意架构中的任何安全相关功能,并审查其是否正确提供。从匿名用户、授权用户和特定应用角色的角度以临时方式进行此操作。益处:在整个组织内实现一致的架构审查流程。活动:验证解决方案架构是否涵盖所有已识别的安全和合规性要求。对于应用程序中的每个接口,遍历安全性和合规性要求的列表,并分析架构是否满足这些要求。同时执行交互或数据流分析,以确保这些要求在不同组件中得到充分满足。详细展开分析,展示设计层面上针对每个要求的特性。对内部接口(例如各层之间)以及外部接口(例如组成攻击面的一些接口)都进行这种类型的分析。同时识别和验证架构中做出的重要设计决策,特别是当它们偏离组织中可用的共享安全解决方案时。最后,根据开发周期中所做的更改更新发现,并将设计阶段未明确提供的任何需求记录为评估发现。标准:您评估安全控制的预防、检测和响应能力 | 您评估安全控制的策略一致性、适当支持和可扩展性 | 您每年至少评估一次其有效性 | 您将发现的缺陷记录为缺陷

评估
评估状态:
评估备注:
V-AA-A-1您是否会不定期地审查应用程序架构的关键安全目标?成熟度实践
Verification / 架构评估

确保架构控制措施的有效性 活动:审查架构组件及其提供的安全机制在与组织整体战略的一致性方面的有效性,仔细检查所选安全解决方案的可用性、可扩展性及企业适用性水平。虽然针对特定应用的战术选择在特定情境下可能有其合理性,但重要的是要关注整体情况,确保所设计的解决方案具备未来的适应性。将任何发现反馈到缺陷管理中,以促进对架构的进一步改进。益处 理解高级架构和合理的安全措施 活动 创建整体架构视图,并检查其是否正确提供了一般安全机制,如身份验证、授权、用户和权限管理、安全通信、数据保护、密钥管理和日志管理。同时考虑对隐私的支持。根据项目产出物,如架构或设计文档,或与业务负责人和技术人员的访谈来执行此操作。还要考虑基础设施组件——这些是所有的系统、组件和库(包括 SDK),它们不是特定于应用程序的,但为组织中应用程序的使用或管理提供直接支持。注意架构中的任何安全相关功能,并审查其是否正确提供。从匿名用户、授权用户和特定应用角色的角度以临时方式进行此操作。益处:在整个组织内实现一致的架构审查流程。活动:验证解决方案架构是否涵盖所有已识别的安全和合规性要求。对于应用程序中的每个接口,遍历安全性和合规性要求的列表,并分析架构是否满足这些要求。同时执行交互或数据流分析,以确保这些要求在不同组件中得到充分满足。详细展开分析,展示设计层面上针对每个要求的特性。对内部接口(例如各层之间)以及外部接口(例如组成攻击面的一些接口)都进行这种类型的分析。同时识别和验证架构中做出的重要设计决策,特别是当它们偏离组织中可用的共享安全解决方案时。最后,根据开发周期中所做的更改更新发现,并将设计阶段未明确提供的任何需求记录为评估发现。标准:您已有一致认可的整体软件架构模型 | 在架构模型中包含组件、接口和集成 | 验证通用安全机制的正确提供 | 将缺失的安全控制记录为缺陷

评估
评估状态:
评估备注:
V-AA-A-2您是否定期审查您的架构的安全机制?成熟度实践
Verification / 架构评估

确保架构控制措施的有效性 活动:审查架构组件及其提供的安全机制的有效性,以确定其与组织整体战略的契合度,并仔细检查所选安全解决方案的可用性、可扩展性和企业适用性程度。虽然针对特定应用的战术选择在特定情境下可能有其合理性,但重要的是要关注整体情况,确保所设计的解决方案具备未来的适应性。将任何发现反馈到缺陷管理中,以促进对架构的进一步改进。益处 理解高级架构和合理的安全措施 活动 创建整体架构视图,并检查其是否正确提供了一般安全机制,如身份验证、授权、用户和权限管理、安全通信、数据保护、密钥管理和日志管理。同时考虑对隐私的支持。根据项目产出物,如架构或设计文档,或与业务负责人和技术人员的访谈来执行此操作。还要考虑基础设施组件——这些是所有非特定于应用程序的系统、组件和库(包括 SDK),但它们为组织中应用程序的使用或管理提供直接支持。注意架构中的任何安全相关功能,并审查其是否正确提供。从匿名用户、授权用户和特定应用角色的角度以临时方式进行此操作。好处:在整个组织内实现一致的架构审查流程。活动:验证解决方案架构是否涵盖所有已识别的安全和合规性要求。对于应用程序中的每个接口,遍历安全性和合规性要求的列表,并分析架构是否满足这些要求。同时执行交互或数据流分析,以确保这些要求在不同组件中得到充分满足。详细展开分析,展示设计层面上针对每个要求的特性。对内部接口(例如各层之间)以及外部接口(例如组成攻击面的一些接口)都进行这种类型的分析。同时识别和验证架构中做出的重要设计决策,特别是当它们偏离组织中可用的共享安全解决方案时。最后,根据开发周期中所做的更改更新发现,并记录在设计阶段未明确提供的任何需求作为评估结果。标准:您审查内部和外部要求的合规性 | 您系统地审查系统中的每个接口 | 您使用规范化的审查方法和结构化验证 | 您将缺失的安全机制记录为缺陷

评估
评估状态:
评估备注: