Professional Code Review service provider
当前位置:首页新闻资讯
2023-08-222013
软件安全构建成熟度模型(BuildingSecurity In Maturity Model,简称BSIMM),是2009年3月正式提出的。BSIMM的核心目的就是对组织所实施的“软件安全举措”进行量化,同时由于实际情况下各种安全措施采用了不同的方法论与专业术语,所以需要一个框架来对这些举措进行统一的描述,这就是BSIMM。
软件安全框架(Software Security Framework,简称SSF)是BSIMM赖以成型的基本结构,它为各种安全活动提供了一个通用的词汇表,来解释“软件安全举措”中的突出要素。这样,即使各种安全措施使用了不同的术语描述,应用于不同领域,存在于不同垂直市场,也可以对它们进行比较。
SSF共有四个域,分别为:监管、智能、SSDL接入点、部署。其中监管域涵盖了能够组织、管理、评价安全活动的措施;智能域包含了这样一些措施,它们能够收集在整个组织内开展安全活动所需的各种知识;SSDL接入点,包含了已经整合到软件安全开发生命周期(SDLC)中的各种软件安全实践,即对软件开发产物、在软件开发过程中所进行的各种分析与保障手段;部署域涵盖了应对传统网络安全与软件维护机制的措施。
SSF共由十二类措施组成:
监管:
1.策略与指标
2.遵从与政策
3.培训
智能:
4.攻击模型
5.安全特性与设计
6.标准与要求
SSDL接入点:
7.架构分析
8.代码审核
9.安全测试
部署:
10.渗透测试
11.软件环境
12.配置管理与漏洞管理
BSIMM在SSF的基础上,将每一类安全措施分成三级,在每一级中又包含当前级别应当实现的安全目标,并指出了与之相对应的具体安全活动。根据这种分级策略以及相应的可鉴别的分步实现目标,形成了整个BSIMM成熟度模型。
更多详细信息,请参考:https://www.bsimm.com/
上一篇:FISMA
下一篇:无