软件保证成熟度模型.pdf

软件保证成熟度模型 将软件的安全融入到软件开发过程的指导手册 版本－1.0 欲获得最新版本和其他信息，请访问项目网页 鸣谢 软件保证成熟度模型（SAMM ）最初是由独立软件安全顾问：Pravir Chandra （chandra@ ）开创、设计、并编写的。该文档初稿的创作由Fortify软件公司赞助。 该文档目前由Pravir Chandra所领导的OpenSAMM项目进行维护和更新。自SAMM最初版 本的发布以来，这个项目已成为开放Web应用安全项目（OWASP ）的一部分。另外，感谢 那些列举在封底上给予我们支持的组织。 贡献者和审核者 如果没有那么多的审核人员和专家所给予的支持以及重要的反馈，这项工作就不会完 成。他们是（以姓的英文首字母排序）： Fabio Arciniegas Brian Chess Matteo Meucci John Steven Matt Bartoldus Dinis Cruz Jeff Payne Chad Thunberg Sebastien Deleersnyder Justin Derry Gunnar Peterson Colin Watson Jonathan Carter Bart De Win Jeff Piper Jeff Williams Darren Challey James McGovern Andy Steingruebl 该中文版本参与人员 翻译及审核:王颉 （因笔者水平有限，欢迎大家指出存在的翻译错误。在以后发布的正式版本中，将修正指出 的错误。） 该中文版发布说明 本文档为“Software Assurance Maturity Model (Version 1.0) ”的中文Alpha版发布。该版 本尽量提供原英文版本中的图片，并与原版本尽量保持相同的风格。存在的差异，尽情谅解。 这是一个OWASP的项目 开放Web应用安全项目（OWASP ）是一个致力于改善应用软件安全的自由和开放的全 球性社区。我们的任务是使应用程序的安全能够“看得见”，所以使人和机构可以针对应用安 全的风险作出明智的决策。每个人都可以免费加入OWASP，我们所有的材料都基于免费和 开放的软件许可证。OWASP基金会是一家501 （c ）3非营利的慈善机构，以确保持续的可 用性和支持我们的工作。在线访问OWASP的网站。 许可证 本文档的发布基于Creative Commons Attribution ShareAlike3.0许可 证 。 欲 查 看 该 许 可 证 ， 请 访 问 /licenses/by-sa/3.0/ 或 将 信 件 寄 往 Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA。 2 执行摘要 软件保证成熟度模型（SAMM ）是一个开放的框架，用以帮助组织制定并实 施针对组织所面临来自软件安全的特定风险的策略。由SAMM提供的资源可作用 于以下方面： ✦评估一个组织已有的软件安全实践； ✦建立一个迭代的权衡的软件安全保证计划； ✦证明安全保证计划带来的实质性改善； ✦定义并衡量组织中与安全相关的措施。 SAMM 以灵活的方式定义，以使它可被大、中、小型组织使用于任何类型的 软件开发中。另外，此模型可适用于全组织范围内，从整个组织，或者甚至是一 个单一的项目。除了这些特点，SAMM还建立在以下原则： ✦一个组织的行为随着时间的推移而