流程与政策
S-SDLC的实施必须是自上而下的,由高层授权,中层平衡相关利益方的诉求,从而达成组织对软件开发安全的共识,为后续的安全实践落地提供合适的土壤。组织需要对软件安全开发的流程和合规性进行监管,保证执行的效果,最终将安全内化到企业文化之中,为企业的业务产品提升安全方面的核心竞争力。“流程与政策”包括建立统一的软件安全战略、制定组织安全开发管理流程、建设和运营组织安全文化、建立组织级别的SDL量化管理体系等安全实践。
流程与政策
- 建立统一的软件安全战略
从软件开发安全的角度来看,统一的软件安全战略是组织完善安全开发流程而确定的发展方向以及长期计划。
除此之外,企业拆解安全战略为实施规划时,组织应确定这些实施规划与组织的安全目标保持一致。
举例来说,建立软件安全战略的方法有:对业务系统按照法律法规要求进行分类分级;建立不同等级和分类系统的安全目标。
- 建立组织安全开发管理流程
重视软件安全的组织,往往会制定一套指导安全软件开发的流程,使得软件安全活动有序、高效地开展。为此,他们根据组织自身的需要定义安全活动,植入到现有的如瀑布、敏捷等研发流程中,打造成为符合企业自身文化的软件安全开发流程。该流程不仅要包含清晰的角色职责、活动描述、输入输出和对应模板,还应该在组织内部公布该流程和相关计划,使其得到干系部门的支持。另外,随着组织的发展,流程在运行过程中还需要不断更新。
- 建立和运营组织安全文化
软件开发组织应该设定负责安全文化推广的宣传角色,并通过在组织内部宣传和推广安全软件开发流程,使研发各部门了解软件开发组织的软件安全战略及相关的安全目标和流程,让安全团队和开发团队形成更好的互动关系。除此之外,企业还应具备文化输出的能力,将软件开发安全的实践和文化对外输出,提升行业影响力。
- 建立组织级别SDL量化管理体系
软件开发组织的SDL流程运转在达到一定成熟度的时候,应该建立统一的S-SDLC管理系统量化安全活动的执行,在提升S-SDLC流程效率的同时对其进行改进和优化。为此,需要建立可度量的SDL过程质量目标以及S-SDLC结果质量目标,然后建立统一的SDL管理平台统计、计算和展现这些质量目标;其次,需要针对质量过程及结果不达标的情况进行根因分析并制定相关的改进措施;最后,应该确定S-SDLC的度量目标,有必要则对其进行更新。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
