e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

软件安全构建成熟度模型演变与分析

2017/11/9    来源:互联网    作者:佚名      
关键字:软件安全  安全设计  
软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。
    前言
 
    软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。但是,能否将安全开发的概念整合到企业原有的开发过程中,通常取决于企业规模、资源(时间、人才和预算),以及管理层支持等各种因素。如果方式不当,很可能造成高昂的成本甚至整合失败。
 
    建立软件安全构建成熟度模型能够帮助企业理解安全开发举措的关键要素,根据开发团队的成熟度水平确定各种安全举措的优先级,从而控制上述因素的影响。
 
    本文介绍了BSIMM、SAMM、SDL优化模型、CMMI+SAFE等四款软件安全构建成熟度模型,分析了这些模型近年来的演变及其产生的原因。
 
    软件安全构建成熟度模型概述
 
    该部分介绍各软件安全构建成熟度模型的由来、概念和基本组成。
 
    1、内建安全成熟度模型BSIMM
 
    内建安全成熟度模型(Building Security In Maturity Model,简称BSIMM),是2009年3月正式提出的。BSIMM的核心目的就是对组织所实施的“软件安全举措”进行量化。
 
内建安全成熟度模型BSIMM
 
    软件安全框架(Software Security Framework,以下简称为SSF) 是BSIMM赖以成型的基本结构,如上图所示,它为各种安全活动提供了一个通用的词汇表,来解释"软件安全举措"中的主要要素。
 
    从2013年开始,BSIMM经历了3个版本的变动:2013年10月的BSIMM 5、2015年10月的BSIMM 6和2016年8月的BSIMM 7。在这三个版本的变动中,其基础的SSF框架并没有任何的变动。
 
    2、软件保障成熟度模型SAMM
 
    软件保障成熟度模型(Software Assurance Maturity Model,简称SAMM) 是一个开放式的框架,用于帮助组织制定并实施所面临来自软件安全的特定风险的策略。在2009年3月发布正式版之后,它成为OWASP 的项目之一。
 
内建安全成熟度模型BSIMM
 
    SAMM的框架顶层定义了四种关键业务功能,而每种关键业务功能下又包含了三类安全措施,共计12种安全措施,如上图所示。
 
    自2009年SAMM 1.0发布之后,SAMM共更新过两次,分别是2016年3月的SAMM 1.1和2017年4月的SAMM 1.5。
 
    3、安全开发生命周期SDL优化模型
 
    SDL 优化模型围绕5个功能领域构建,这些领域大致与软件开发生命周期的各个阶段相对应:培训以及政策、组织功能、要求和设计、实施、验证、发布和响应。针对这些领域中的实践和功能,SDL 优化模型还定义了四个成熟度水平——基本、标准、高级和动态。其结构如下图所示。
 
内建安全成熟度模型BSIMM
 
    从SDL优化模型2008年发布以来,它的内容未更新过。而且现在微软的官方网站上也找不到相关材料,只是在“安全自评估”的页面中提到:“使用SDL优化模型能够帮助组织评估产品在开发过程中的安全状态,随后组织可以利用SDL 优化模型为渐进地、经济地创建更安全、可靠的软件提供愿景和实施路线”。
 
    4、CMMI+SAFE
 
    +SAFE模型是由澳大利亚国防部和美国卡内基梅隆大学共同研制开发的,并且针对CMMI 开发模型(CMMI-DEV)增加了两个额外的过程域,涵盖安全管理和安全工程的内容。
 
    +SAFE旨在识别安全关键产品的安全性强项和弱项,并且意图在产品采购过程的早期识别出的安全漏洞。
 
    从2007年3月发布以来,+SAFE的内容也未更新过。
 
    软件安全构建成熟度模型的演变
 
    本节,我们对近年来模型的演变情况进行分析,因为只有BSIMM和SAMM存在内容的更新,所以主要聚焦在这两个模型上。
 
    1、BSIMM的演变
 
    (1)模型演变
 
    BSIMM模型基础框架SSF近年来并没有变化,而只是对各种安全活动的变更。具体情况如下表:
 
内建安全成熟度模型BSIMM
 
    其中,紫色框表示该活动为该版本BSIMM新增加内容;绿色框表示该活动的成熟度级别进行了上调,即考虑的优先级有较明显的降低;橙色框表示该活动的成熟度级别进行了下调,即考虑的优先级有较明显提升。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐