Gratka dla programistów – OWASP Software Assurance Maturity Model v1.1 dostępny

31 marca 2016, 13:36 | Aktualności | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Niedawno opublikowano wersję 1.1 projektu OWASP SAMM (Software Assurance Maturity Model), umożliwiającego zbudowanie modelu tworzenia oprogramowania tak aby: a) było ono bezpieczne b) optymalizować koszty całego procesu:

SAMM (Software Assurance Maturity Model) is the OWASP framework to help organizations assess, formulate and implement a strategy for software security, which can be integrated into their existing Software Development Lifecycle (SDLC).

SAMM

SAMM

Bardziej konkretnie, z wykorzystaniem SAMM można wykonać takie czynności jak:

  • Ocenę aktualnych praktyk dotyczących bezpieczeństwa tworzenia aplikacji w danej firmie
  • Budowę całego programu kontroli bezpieczeństwa oprogramowania (na różnych etapach jego tworzenia)
  • Wskazanie aktualnego zwiększenia się bezpieczeństwa aplikacji po wdrożeniu programu (mamy tutaj omówione przykładowe metryki).

Całość odbywa się w kilku zasadniczych obszarach:

OWASP SAMM

OWASP SAMM

Wersja 1.1 przynosi przede wszystkim gruntowne porządkowanie dokumentu dostępnego od kilku lat tutaj. Między innymi stworzony został dokument Quick Start,  Toolbox (tj. plik Excela umożliwiający audyt obecnej sytuacji oraz śledzenie postępów) czy PDF ułatwiający wdrożenie całego modelu (Howto guide).

–Michał Sajdak

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. manto

    Tym razem tytuł trochę bez sensu.

    OWASP SAMM jest dla całych zespołów tworzących oprogramowanie a w zasadzie dla całych działów IT a w zasadzie dla całych firm, które robię soft dla siebie lub dla innych (mam na myśli, że w idealnym świecie w SDLC w jakim stopniu zaangażowany powinien być prawie każdy pracownik firmy od zarządu do testera, admina czy innego czarnucha) . Dla programistów (oraz projektantów/architektów) jest ASVS. Zresztą treść artykułu i załączone obrazki nawet temu tytułowi zaprzeczają. Programowanie to tylko część obszaru Construction, a są jeszcze trzy inne.

    Odpowiedz
    • Zgadzam się, ale tytuł „Wydano OWASP SAMM – dla całych zespołów tworzących oprogramowanie a w zasadzie dla całych działów IT a w zasadzie dla całych firm, które robię soft dla siebie lub dla innych” byłby nieco nieporadny ;-)

      Odpowiedz
      • Tytuł „Wydano OWASP SAMM dla zespołów tworzących oprogramowanie”, a w pierwszym zdaniu treści artykułu rozwinięcie tegoż zagadnienia, i od razu wiadomo czy czytać dalej. Szanujmy czas swój i innych.

        Odpowiedz
        • Macie prawo do swojego zdania, co nie zmienia faktu, że ten czy inny model sprawdzania/osiągania poziomu dojrzałości SDLC jest gratką dla programistów – czy to bezpośrednio dla nich czy dla środowiska, w którym pracują. Nie da się „programować” w oderwaniu od środowiska (zarządu, innych zespołów, itd.) chyba, że programiści są zamknięci w szklanej kuli co implikuje inne wyzwania.

          Odpowiedz
      • manto

        to fakt…. :-D

        Odpowiedz

Odpowiedz