OWASP SAMM

什么是OWASP SAMM？
以下是OWASP SAMM的摘要 ：
.SAMM代表软体保障成熟度模型。
.我们的使命是为所有类型 的组织提供一种有效且可衡量的方法， 以分析和改善其 软体安全状况。
.我们想通过我们的自我评估模型来提高认识并教育组织如何设计，开发和部署安全软件。
.SAMM支持 完整的软体生命週期， 并且与 技术和过程无关。
.我们建立了SAMM，使其本质上具有发展性和风险驱动性，因为没有一种适用于所有组织的方法。

SAMM成熟度级别
SAMM将三个成熟度级别定义为目标。

-SAMM模型结构

OWASP SAMM模型2.0
SAMM是一种规範性模型，是一种易于使用，完全定义且可测量的开放框架。即使对于非安全人员，解决方案详细信息也很容易遵循。它可帮助组织分析其当前的软件安全性实践，按定义的迭代构建安全性程序，显示安全性实践的逐步改进，定义和评估与安全性相关的活动。
定义SAMM时要考虑到灵活性，以便使用任何开发风格的小型，中型和大型组织都可以自定义和採用它。它提供了一种方法，可以了解您的组织在实现软件保证的过程中所处的位置，并了解为达到下一个成熟水平而建议採取的措施。
SAMM并不坚持要求所有组织在每个类别中都达到最大成熟度。每个组织都可以确定最适合和适应每个安全实践的目标成熟度级别
资料来源：OWASP SAMM 2.0

SAMM的由来
软件保障成熟度模型（SAMM）最初是由独立软件安全顾问Pravir Chandra（chandra-at-owasp-dot-org）开发，设计和编写的。通过Fortify Software，Inc.的资助，可以创建第一稿。目前，此文件是通过Pravir Chandra领导的OpenSAMM项目进行维护和更新的。从SAMM的最初发行版开始，该项目已成为Open Web Application Security Project（OWASP）的一部分。
资料来源：OpenSAMM

Pravir Chandra（强化软体）
Pravir Chandra是Fortify战略服务总监，他与客户合作建立和优化软件安全保证程序。Pravir以其在软件安全性和代码分析方面的专业知识以及从业务角度战略性地应用技术知识的能力而在业界获得广泛认可。在加入Fortify之前，他是Cigital的首席顾问，在那里他领导了《财富》 500强公司的大型软件安全计划。在被Fortify Software收购之前，Pravir还是Secure Software，Inc.的联合创始人兼首席安全架构师。他的书《使用OpenSSL的网络安全》是有关通过加密和安全通信保护软件应用程序的热门参考。他的各种特殊项目经验包括与开放Web应用程序安全性项目（OWASP）基金会一起创建和领导开放软件保证成熟度模型（OpenSAMM）项目。此外，普拉维尔目前还是OWASP全球项目委员会的成员。
资料来源：CMU-SEI

OWASP SAMM版本
.OWASP SAMM版本2 –公开发布
.OWASP SAMM v2.0于2020年2月11日星期二发布
.OWASP SAMM v1.5发布，2017年4月13日
.OWASP SAMM v1.1发布，2016年3月16日
.OpenSAMM的原始版本，2009年3月25日

参考
.成熟度模型
.OWASP SAMM v2.0发布
.OpenSAMM项目

资料来源： Wentz Wu 网站