Após três anos de preparação, nossa equipe de projeto SAMM entregou a versão 2 do SAMM!

O OWASP SAMM (Software Assurance Maturity Model) é a estrutura OWASP para ajudar as organizações a avaliar, formular e implementar, por meio de nosso modelo de autoavaliação, uma estratégia de segurança de software que possam integrar ao seu Ciclo de Vida de Desenvolvimento de Software (SDLC) existente.

O novo SAMM v2 consiste nos seguintes componentes:

O que mudou com o SAMM v2?

Para as organizações que usam versões anteriores do SAMM, é importante dedicar um tempo para entender como a estrutura evoluiu em favor da automação e de um melhor alinhamento com as equipes de desenvolvimento. Organizacionalmente, algumas mudanças importantes merecem destaque:

  • Construção agora é Design
  • Nova função de negócios: Implementação
  • Função de negócios redesenhada: Verificação
  • Nova prática de segurança: Gestão Operacional
  • A capacitação operacional não existe mais e outras práticas absorveram suas atividades

As atividades agora são ordenadas em fluxos lógicos ao longo de cada uma das 15 práticas de segurança divididas em dois fluxos, o que alinha e vincula as atividades na prática ao longo dos diferentes níveis de maturidade.

O novo modelo suporta medições de maturidade tanto do ponto de vista da cobertura quanto da qualidade. Adicionamos novos critérios de qualidade para todas as atividades. Há uma caixa de ferramentas SAMM de pontuação atualizada projetada para ajudar avaliadores e organizações com suas avaliações e roteiros de garantia de software.

Temos uma única fonte usando o GitHub e podemos gerar automaticamente documentos PDF, o site, a caixa de ferramentas e aplicativos. Todo o conteúdo do modelo foi convertido em arquivos YAML, permitindo que ferramentas ou outros consumidores SAMM usem automaticamente o modelo. Você sempre pode encontrar a versão mais recente do SAMM em nosso site, na seção Modelo. As notas de versão completas para a versão 2 estão disponíveis aqui.

Como sempre, o feedback é bem-vindo em nossos canais habituais:

Seba Deleersnyder e Bart De Win, co-líderes do Projeto SAMM, comentaram: “Este é um lançamento realmente importante para a equipe do projeto. Somos gratos pela equipe, nossa comunidade SAMM e a ajuda de nossos patrocinadores, com todos eles, após três anos, agora temos uma maneira eficaz e mensurável para todos os tipos de organizações analisarem e melhorarem sua postura de segurança de software”.

Não se esqueça de olhar ao redor do nosso novo site, rever o modelo atualizado e a caixa de ferramentas.

Obrigado

Um grande obrigado à nossa comunidade, seu feedback, correções, perguntas, contribuições e encorajamento. SAMM versão 2 é para você!

Agradecimentos especiais a Brett Crawley, Brian Glas, Bruce Jenkins, Chris Cooper, Daniel Kefer, Felipe Zipitria, Hardik Parekh, John Dileo, John Ellingsworth, John Kennedy, Nessim Kisserli, Patricia Duarte, Sebastian Arriada, Timo Pagel e Yan Kravchenko.

E aos nossos principais patrocinadores, Concord, Micro Focus Fortify, NCC Group, Toreon, PWC e Splunk.

Hora de comemorar!

A equipe do projeto OWASP SAMM

Sobre a Fundação OWASP

O Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos que trabalha para melhorar a segurança do software. Através de projetos de software de código aberto liderados pela comunidade, mais de 260 capítulos locais em todo o mundo, dezenas de milhares de membros e conferências educacionais e de treinamento líderes, a Fundação OWASP é a fonte para desenvolvedores e tecnólogos protegerem a web. Por quase duas décadas, corporações, fundações, desenvolvedores e voluntários apoiaram a Fundação OWASP e seu trabalho. Para saber mais ou para se tornar um membro, visite https://owasp.org. OWASP e o Open Web Application Security Project são marcas comerciais da OWASP Foundation.

Sobre o OWASP SAMM

A comunidade OWASP SAMM é alimentada por voluntários experientes em segurança de empresas e organizações educacionais. A comunidade global trabalha para criar artigos, metodologias, documentação, ferramentas e tecnologias disponíveis livremente.

Contato

Artigo Original