OWASP SAMM V2.0

В предыдущем посте мы рассмотрели нормативную базу по безопасной разработке ПО. Продолжаем подробнее рассматривать основные методологии.

OWASP SAMM (Software Assurance Maturity Model) – фреймворк позволяющий внедрить и организовать цикл безопасной разработки приложений (SSDLC). Большим преимуществом данного фреймворка является его гибкость, он не зависит от технологий, процессов и размеров организаций.

На официальном сайте https://owaspsamm.org/ предоставляется возможность:

• скачать фреймворк;

• ознакомиться с руководством по внедрению SAMM:

Подготовка – Оценка – Постановка цели – Определение плана – Внедрение – Релиз;

• с помощью набора инструментов определить уровень безопасности в разработке ПО;

• бенчмаркинга, для оценки и сравнения себя с другими организации.

Сама модель основана на наборе бизнес-функций: управление, дизайн, реализация, верификация и операции. К каждой бизнес-функции прилагается по 3 практики информационной безопасности, которые нужно внедрить. Каждая практика безопасности содержит два потока, которые используют набор действий, структурированных по трем уровням зрелости (1-3).