您位于: 首页 OWASP项目 S-SDLC CMM

S-SDLC CMM

项目介绍

 

在过去的10年时间里,通过对金融、通讯、软件服务商、房地产等行业的部分头部企业的安全开发体系建设的深入调研,发现虽然很多软件开发组织都或多或少执行了软件安全开发实践,但普遍不能清晰地确定评估组织安全开发能力处于哪一个水平,与行业最佳实践有哪些差距。企业缺乏整体性的规划,或者方向错误,就会导致在安全建设上的投入产出比低下,对企业的正常业务发展造成影响。

 

 

在此背景下,本项目致力于编写范围更全面、落地指导性更强、更具备适用性的安全开发能力评估框架模型,从而让企业可以利用该模型客观认识自身软件安全开发能力,并通过横向对比软件开发组织自身与业界最佳实践,为软件开发组织提升软件安全开发能力和制定更科学的安全开发决策提供依据。

S-SDLC CMM(S-SDLC Capability Maturity Model)是一套软件安全开发体系规范模型,主要用于对软件安全开发的能力和成熟度进行评估。通过客观观察,模型覆盖了SDLC开发流程中的关键要素,展示最佳实践方法。通过基于该模型的评估,不仅可以让组织评估软件安全开发体系建设真实水平,还可作为组织改进软件安全开发体系的落地参考框架。

模型特性

 

(1)根据过往国内IT组织的现实实践情况和难度,合理给出能帮助组织可落地的软件安全评估方案。

(2)以观察打分式为基础的评价体系,更为客观地衡量企业软件安全水平,并针对性地给出提升建议。

(3)衡量解决方案实施过程中的方法和手段,并评价出解决方案在行业中的实践地位。

(4)跟进了近年国内软件安全法规政策,如软件供应链安全、敏感数据安全等问题。

(5)模型具有通用性,适用于不同软件开发模式。

 

文档下载

S-SDLC CMM

开源网站

S-SDLC CMM – 安全能力评估模型