OWASPSAMM2.0信息安全资料.pdfVIP

OWASP软件保障成熟度模型

（SAMM）V2.0

OWASP中国

2020年9月

目录

第一部分前言4

什么是OWASPSAMM？5

关于SAMM模型5

OWASPSAMM的结构5

第二部分SAMM核心模型6

1、治理7

1.1战略与指标7

1.1.1创建与推广8

1.1.2测量与改进11

1.2策略与合规14

1.2.1策略与标准15

1.2.2合规管理18

1.3教育与指导21

1.3.1培训和意识22

1.3.2组织和文化26

2、设计29

2.1威胁评估29

2.1.1应用软件风险画像30

2.1.2威胁建模33

2.2安全需求36

2.2.1软件需求37

2.2.2供应商安全40

2.3安全架构43

2.3.1架构设计44

2.3.2技术管理47

3、开发50

3.1安全构建50

3.1.1构建过程51

3.1.2软件依赖54

3.2安全部署57

3.2.1部署过程58

3.2.2机密信息管理61

3.3缺陷管理64

3.3.1缺陷跟踪65

3.3.2指标与反馈68

4、验证71

4.1架构评估71

4.1.1架构验证72

4.1.2架构缓解75

4.2需求驱动的测试78

4.2.1控制验证79

4.2.2滥用测试82

2

4.3安全测试85

4.3.1可测量的基线86

4.3.2深刻的理解89

5、运营92

5.1事件管理92

5.1.1事件检测93

5.1.2事件响应96

5.2环境管理99

5.2.1配置加固100

5.2.2补丁与更新103

5.3运营管理106

5.3.1数据保护107

5.3.2系统退役和旧版本管理110

第三部分SAMM表单模板113

6、