Documente Academic
Documente Profesional
Documente Cultură
SAMM - Introduo
Pravir
O primeiro projeto foi desenvolvido por Fortify Software Inc Licena Creative Commons Atualmente a maior iniciativa da OWASP (The Open Web Application Security Project) trabalha na padronizao de transaes financeiras online
SAMM Definio
um framework aberto que auxilia as organizaes/empresas a formular e implementar estratgias para segurana de software, as quais so adaptadas para os riscos especficos do segmento de negcios Pode ser utilizado por pequenas, mdias ou grandes corporaes, para um nico ou vrios ramos de negcios ou at mesmo em projetos individuais
Avaliao das prticas de segurana de software existentes na empresa Construo de um processo/programa para equilibrado, seguro e bem definido para produo de software Demonstrao concreta das melhorias para se obter softwares mais seguros Definio e medio das atividades relacionadas com segurana em toda a organizao
O comportamento de uma organizao muda lentamente ao longo do tempo um software seguro deve ser especificado em pequenas iteraes que fornecem pequenos resultados e realizam trabalhos incrementais com objetivos de longo prazo. No existe uma receita simples que funciona em todas as organizaes um software security framework precisa ser flexvel para que as organizaes sejam capazes de criar as suas solues de segurana.
Orientaes sobre segurana devem prescritas/estabelecidas todos passos na construo e no acesso de programa seguro(assurance) devem simples, bem definidos e mensurveis.
ser os um ser
O conceito inicial so as Business Function (inerentes a qualquer empresa de desenv de de software). Cada BS define trs Prticas de Segurana (PS) Para cada PS, existem 3 Niveis de Maturidade definidos como Objetivos (que tm mtricas e atividadas especficas)
Governana: como uma organizao gerencia as suas atividades globais (macro) de desenvolvimento de software (processos de negcios, cross-cut groups, etc) Construo: com uma organizao define metas e desenvolve os projetos de software (gesto de produtos, levantamento de requisitos, projeto detalhado e implementao)
Verificao: como uma organizao realiza os testes do software produzido durante o desenvolvimento (garantia de qualidade, testes e atividades de avaliao) Implantao: como uma organizao administra a release do software implementado (transporte/venda de produtos para os usurios finais, implantao em hosts, etc)
0 : implcito, representa o nvel insatisfatrio 1 : Entendimento inicial, uma ad hoc provision das Prticas de Segurana 2 : Incremento de eficincia e/ou efetividade das Prticas de Segurana 3 : Domnio completo das Prticas de Segurana
Estimativa global de negcios com um perfil de riscos Construir e manter um roteiro (roadmap)
Classificar dados e aplicaes com base nos riscos do negcio Estabelecer e mensurar as metas de segurana
Referncias
https://www.owasp.org http://www.opensamm.org