Projektets utgångspunkt var Microsofts Security Development Lifecycle (SDL) och OWASPs Comprehensive Lightweight Application Security Process (CLASP). Enligt Pravir så har SDL uppfattats som för tungt, även av Microsoft själva och CLASP uppfattats som bra men mest en samling aktiviteter utan ordning eller prioritet. Så man ville ta fram något bättre.
Tolv typer av säkerhetsarbete
I OpenSAMM definieras arbete med applikationssäkerhet i fyra huvudkategorier och tre underkategorier:
- Governance - mätetal, utbildning, policy
- Construction - säkerhetskrav, säkerhetsarkitektur, hotmodellering
- Verification - designgranskning, säkerhetstest, kodgranskning
- Deployment - härdning, driftsäkerhet, hantering av sårbarheter och patchar
Inom varje kategori kan man befinna sig på en av fyra nivåer:
0: Inga aktiviteter
1: Grundläggande förståelse, tillgång till information
2: Utrullning i praktiken och arbete med effektiviteten
3: Skalbart användande
Färdkartor för fyra typiska organisationer
Inom OpenSAMM har man tagit fram fyra färdiga färdkartor för typiska organisationer:
- Oberoende mjukvarutillverkare
- Leverantör av webbtjänster på nätet
- Finans- och/eller bankorganisation
- Myndighet
- Organisationer ändrar sig långsamt vilket innebär att ett iterativt införande krävs
- Ingen lösning passar alla vilket innebär att man måste göra riskbaserade val
OpenSAMM har släppts i version 1.0 och används redan av många organisationer. Pravir och övriga projektgruppen (många tunga namn med) siktar på att uppdatera cirka en gång per år. Man samlar också in information om hur det har gått för de organisationer som gett sig på ett införande.
Kolla in www.opensamm.org
Inga kommentarer:
Skicka en kommentar