S-SDLC CMM简介
S-SDLC CMM(S-SDLC Capability Maturity Model)是一个“指导式”的软件安全开发能力成熟度评估模型,可作为软件安全能力成熟度的量化评估的依据,还可作为软件安全开发体系建设的参考和指导。
S-SDLC CMM模型是S-SDLC咨询团队在多年企业软件开发安全咨询领域的经验沉淀。该模型完整定义了标准的软件安全开发流程和安全实践,用于评估和指导软件组织的开发安全体系建设。
S-SDLC CMM模型由4大安全能力域、17大安全能力子域以及若干安全实践构成。
- 监管:监管域描述了软件开发组织制定的软件安全开发流程、合规要求、管理制度等体系化文件;
- 能力:能力域描述了软件开发组织保障各种安全活动所具备的基础设施;
- 触点:触点域描述了软件开发组织在软件开发生命周期当中应该如何融入安全实践;
- 运维:运维域描述了软件开发组织在生产环境和软件上线所需要执行的安全实践。
模型通过划分安全能力域、安全能力子域、安全实践的三层结构,将安全能力细化至可客观量化的执行动作,由此得出安全实践客观的执行水平,完成对组织安全能力成熟度的评估。
S-SDLC CMM模型的特征
- 以观察打分为基础的评价体系,更为客观地衡量企业软件安全水平,并给出针对性建议。
- 每年更新迭代国内外软件安全法规政策要求,跟进最新安全热点问题。
- 模型适用于瀑布式、敏捷式等不同软件开发模式。
S-SDLC CMM 模型框架
安全能力域
安全能力域划分组织安全能力为四块,分别是:监管、能力、开发过程触点和运维。通过量化四大安全能力域来客观衡量组织的安全能力水平。
安全能力子域
安全能力子域隶属于四大安全能力子域划分,每个安全能力域下划分为若干子域,用于描述构成四大安全能力域的安全能力细分。
安全实践
安全实践是安全能力子域的细分,是软件安全开发过程中需要实施的具体事项,是客观呈现组织安全能力的具体实践。
评价指标
评价指标是客观评价安全实践执行情况的维度划分,通过划分为频率、覆盖率和执行质量这三个维度对安全实践的执行情况进行客观描述。
安全能力域
量化维度
S-SDLC CMM定义的打分量化维度是对模型中安全实践完成程度不同维度的考虑,量化的维度主要考虑如右图所示。
能力成熟度
S-SDLC CMM能力成熟度用于描述组织软件安全开发能力成熟度等级,共分为五级。