OWASP发布五维软件安全开发成熟度参考框架,提升软件供应链安全
编译:代码卫士
OWASP SwSec 5D 的项目主管是 IMQ Minded Security 公司的首席执行官 Matteo Meucci。该公司是一家 SDLC 咨询公司,Meucci 自2002年起就与OWASP 协作。该SDLC五维方法源自 IMQ Minded Security 公司,在2018年捐赠给 OWASP,之后由后者优化发布。
Meucci 表示,“从客户方面来看,很多企业的软件安全开发方法是测试、测试、更多测试,而这样做还不够。虽然已经存在软件开发生命周期 (SDLC) 模型如瀑布模型和敏捷方法,但这些传统模型缺乏对安全的明确聚焦,因此不适合解决软件开发安全问题。”
基于这一观察,Meucci 和 OWASP 着手开发新的五维SDLC安全框架。Meucci 认为安全开发中存在五个单独的维度,且这些维度都必须得到恰当满足。这五个维度是流程、测试、团队、意识和标准。SwSec 5D 模型是用于满足并衡量企业在这五个维度的成熟度框架和工具。《OWASP 软件安全5D框架》文档说明了该框架,用于交付成熟度评估的工具是一份在线谷歌表单。该成熟度衡量流程可在几小时内执行,标注弱点并执行改进。
流程是指用于管理SDLC中安全风险的流程,如风险评估、安全要求、威胁建模、安全设计、软件验收和安全漏洞修复。团队维度说明了安全开发所需的人力功能如 AppSec 经理或首席信息安全官、安全倡导者、AppSec 专员、卫星架构师、卫星开发人员和卫星审计人员。意识维度关注的是软件开发生命周期中所涉及的团队成员意识和培训。测试维度关注软件测试和评估,包括使用多种工具如 SAST、DAST、IAST和RASP。应当通过安全代码审计和渗透测试的方式提供手动测试方法。标准维度关注使用现有的开发标准如 OWASP SAMM 模型。
成熟度评估通过简单的问卷进行并对回复进行评分(示例问题:你的大多数应用和资源是按照风险进行归类吗?)。每个回复的评分从0到3不等,完整的成熟安全的SDLC会返回3的均值。
在OWASP自身的模型测试流程中,OWASP 将该框架应用到12个金融机构和5家独立软件厂商中。这些金融机构的评分均比独立软件厂商要高,尽管这两种类型的机构均未在任何一个维度获得均值3。金融机构在“测试”方面获得2.5的均分(独立软件厂商获得1.6分),不过在“流程”方面仅获得1.7分(独立软件厂商获得1.5分)。
独立软件厂商相对低下的表现令人担忧,因为美国国家网络安全战略的目标是重新调整网络安全的责任,并坚持“设计即安全”,这说明软件厂商越来越多地承担所开发和销售软件的安全责任。
Meucci 和 OWASP 认为有效的安全SDLC要求在所有五个维度展现可演示的成熟度。SwSec 5D 成熟度模型将助力企业在自己的内部开发中实现更高的安全性,但将同时通过量化所引进 web 应用的安全成熟度来提升软件供应链安全。尽管最终是一个勾选题,但买家对书面证明的坚持可能是有效的解决方案——由于该流程仅花费数小时,因此采购首席信息安全官可旁听厂商对 OWASP SwSec 5D SDLC 评估流程的使用。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。