Get best of the week

通过OWASP SAMM节省实施安全开发标准的时间和精力

2020年3月5日,在OZON办公室举行了OWASP社区莫斯科分会的下一次会议看起来效果很好,但是最近在哈布雷(Habré)上发布了一份包含会议材料的简短报告该报告在同一职位上发表。牛粪

继续一系列有关OWASP项目的明示报告,今天我们将讨论OWASP SAMM(最重要的社区项目之一)。在今年年初,发布了第二个版本-这是一个充分讨论该框架的很好的理由。

这是什么?



SAMM的缩写代表软件保障成熟度模型-很难将其正确翻译成俄语(就像来自IT世界的许多英语术语一样)。该项目是一个软件安全模型,一个知识库和文档框架,可帮助建立一个安全的应用程序开发周期。从S-SDLC的角度来看,当您进入一家公司或想要按照风水做您业务中的一切时,实际上恰恰是缺少的-实施我听说过的所有“控制”:SAST,DAST,学习和了解从哪里开始以及在哪里继续前进。

OWASP SAMM评估了软件开发中当前的信息安全级别,并在此基础上构建了一个完整的程序,您可以在指定的时间内以可理解的步骤来实施该程序,您将获得一系列实施活动和实践-这是一个巨大的优势。可以将其与您可以打开并遵循的教科书进行比较。

OWASP SAMM包含以下模块

  • 描述模型本身,构建SDL的方法;
  • 问卷是一个大型问卷,回答其中的问题,您将了解您现在处于什么级别。这将制定一个计划,以实现自己的目标。
  • OWASP SAMM. , , . , — - , . , , .

图片

让我们关注一下模型。它具有一组业务功能:管理,设计,体系结构,开发,验证和操作。在以前的版本中有四个业务功能,在新版本中有五个,将三种信息安全实践应用到这些业务功能中,这是需要实现的,在每种实践中都有另外两个活动。您只能以不同的方式计划达到目标的30项活动,在这种情况下,我们最珍惜的目标是提高成熟度。

OWASP SAMM具有三个成熟度级别。通过组合活动,对其进行介绍和评估,您可以了解迭代和业务迭代以将其提升到一个新的水平。这样,您就可以设定年度目标和计划,并每季度进行一次,这样一年之后您就可以评估已完成工作的有效性。

正如您所注意到的,有很多活动。例如,在“培训”部分中,详细描述了如何提高开发人员的知识水平,如何对其进行评估以及是否足以提高开发人员的知识水平。有单独的一节介绍缺陷管理。能够评估当前漏洞的好坏总是很重要,并将其与以前的漏洞进行比较,以便从信息安全的角度了解产品中正在发生的事情:是否已系统地消除了一切,是否还有进一步的措施?然后做。

与SAMM合作


通常,引入安全开发实践首先要问自己:“但是我可以在公司中确保食品安全吗?实施S-SDLC!”并为此做好准备:与业务,开发,团队负责人进行沟通,以了解他们是否需要它。

下一步是评估当前状态。通过问卷调查,您可以从大量人员中收集公司的安全信息。越多,数据将更好地反映现实。

在这里,您可以评估当前状态。现在,您了解了需要移动的位置以及要达到的目的。在此级别上,您可以查看目标并制定计划,拟议的调查表将帮助您从一个月到一年的阶段进行分类。

然后,乐趣就开始了-直接实施控制程序,例如,相同的SAST(不要忘记立即考虑性能指标)。最后,您将得到推广-这是您执行步骤的一种后动作。在此阶段,您了解到,您首先考虑并介绍的所有内容都可以正常运行,其次,至少对于“业务合作伙伴”和您而言,它都是引人注目的。

在这一点上,您可以休息一下以增强力量并进入下一个级别。整个周期重新开始-通过此类迭代,您将构建S-SDLC。

正如我刚开始所说的,要在公司中实施S-SDL或SDLC时,最常见的问题是:“从哪里开始?”。在此重要的是,无论何时要执行此操作,您都有机会不必费心首先实施SAST,自己编写指南或进行培训-只需采用正式的框架并在其上建立策略并以此为基础进行构建信息安全软件,用于开发您的应用程序。这样,OWASP SAMM将为您提供帮助。

问题:


-您能告诉我们您实施OWASP SAMM的经验吗?

-关于OWASP SAMM,我是在两年前学到的。我们在先前项目中所做的一切都是基于经验的预感。在SAMM中,所有内容均已编写,而且最重要的是-可测量的。最后,您将能够了解您如何有效地实施变更。在Ozon,我们讨论了有关培训和信息安全文化的部分,并在此基础上准备了许多流程:组织培训,通过问卷调查开始新员工并进行信息安全测试,开展各种活动,以提高我们头脑中的信息安全水平。将来,我们将介绍其他模块。

-我是否需要为项目经理提供培训,以便他们了解S-SDLC的用途?

-在不同成熟度的OWASP SAMM中,预计将发展培训。例如,在第一级,您创建一个内部门户,在其中发布指向有用资源的链接。在下一级别-形成专门的培训和指南。在我们的内部门户网站中,有针对目标群体的单独指南:开发人员,经理,质量检查。在第三个级别,需要衡量质量并了解每个人对材料和指南的研究程度如何-也许在没有一定级别的信息安全测试的情况下,不应允许某人进入特别重要的项目。我们通过了所有这些级别,并且几乎立即通过了第三级。

— , , . , , , ?

-我不能说培训需求比SAST的有效性更容易证明。信息安全的有效性是包含数字,指标,图形的单独大型报告的主题。在第一级,例如根据开发人员的平均得分,拥有统计信息可能就足够了。对于特别关键的服务,可以增加此限制。在我看来,要证明这一点很容易,因为它有可能展示领导能力:信息安全领域的开发人员的知识正在增长,因为正确答案的数量具有度量标准。许多大型公司都有进行内部CTF的做法-如果您看到很多人参加比赛,每个人都感兴趣,并且参与者的人数逐年增加,这意味着知识水平正在提高。与所有信息安全一样,这里没有一个度量标准-它始终是一组指标,您可以通过这些指标进行导航以显示某些区域的动态。

-这个系统太复杂了吗?从事此工作的人的眼睛会不会散开吗?也许您应该首先尝试自己想出点什么,然后转向OWASP?

-他自己会更长。借助更正式(分解)的OWASP SAMM方法,您可以腾出时间处理其他任务,而不用考虑先做什么,然后再用多少数字向自己和管理层证明工作是有效的。在这种情况下,我们采用OWASP SAMM,并在此基础上创建自己的程序。它使您至少在开始时就可以显着加速,而不会浪费时间来获得经验,拿起锥体等。

More articles:


All Articles