软件保证成熟度模型（SAMM） 免费培训

时间：         2011年5月29日晚上8:00-9:00 
内容：         软件保证成熟度模型（SAMM） 免费培训
人数：         25人（由于视频培训系统的收费与参与人数有关，因此很抱歉通知大家，目前我们最多只能支持25方参与。）
培训方式： 在线视频培训
主讲人：     王颉
报名方式：  请提供会员编号发邮件到project邮箱申请。（本次培训为OWASP中国区会员免费提供，非会员可免费加入OWASP中国。培训PPT下载。）

王颉简介：

王颉，现为英国拉夫堡大学（Loughborough University）在读博士生。其先后于2007年6月在中国电子科技大学获得本科学位，2008年12月在英国拉夫堡大学（Loughborough University）获得硕士学位。主要研究方向包括：入侵检测、攻击树建模技术、计算机网络等。并在IEEE国际会议和国际期刊杂志中先后发表论文十余篇。

王颉自加入OWASP组织和OWASP中国分会以来， 先后参与了2010年的OWASP新闻通讯简报、2010 OWASP Top 10和OWASP SAMM的翻译工作。并于今年3月起，担任OWASP中文项目的负责人之一，致力于将OWASP的信息推广到更多华语大学、公司企业以及安全社团。

关于王颉的更多信息，请访问：http://www-staff.lboro.ac.uk/~cojw8/index.htm

培训后答疑：

在5月29日举行的OWASP软件保证成熟度模型（SAMM）培训交流活动中，很多安全的专业人士针对SAMM提出了几个代表性的问题。王颉就相关问题咨询了SAMM的原作者，美国Fortify公司的Pravir Chandra先生。近日，Pravir对相关提问进行了解答。 

Q：SAMM和MS的SDL有什么区别？

A：SAMM和MS的SDL有以下主要区别：

（1）       SDL适合于以软件开发为主要业务（开发且销售）的公司，而SAMM更适合于进行自我软件开发且自我使用的企业组织（比如：银行，或在线服务提供商）。以微软为例，当微软发现了一个软件产品漏洞后，他们的做法是建立一个补丁，并分发给数以万计的用户，让他们安装以解决安全漏洞。而以一个银行为例，如果发现一个漏洞，他们仅需要建立一个补丁，并通知他们内部的系统管理员安装补丁，以解决安全漏洞。就“风险暴露”而言，这两个例子有很大的不同。所以，很多以非软件开发为主要业务的组织，会发现在开发过程中使用SDL比较困难。

（2）       另外一个重要的区别是，SAMM有内设的等级制度，以允许企业组织决定通过什么样的程度改善每个单独的安全实践。虽然SDL的优化模块（Optimization Model）在往类似的方向进行改进，但是SDL没有SAMM的这一等级功能。

Q：哪些企业组织使用了SAMM？有没有实际的案例分析？

A：Fortify公司（SAMM的开发公司）直接为超过了20家的组织企业进行了SAMM的使用指导。在OWASP组织中，也有很多会员使用了SAMM。目前估计，在全世界范围内有超过50家的企业组织使用了SAMM建立他们的软件保证计划。

   关于具体的案例分析，出于对客户的商业机密保护，以及遵守与客户合同中的详细条款，暂时不能提供实际的案例分析。但是，在获得客户允许的前提条件下，下一版本的SAMM文档可能会实际介绍SAMM是如何帮助客户建立保证计划的。