您位于: 首页 OWASP项目 S-SDLC CMM

S-SDLC CMM

项目介绍

在过去十年的时间里,我们对金融、通讯、软件服务、房地产等行业的部分头部企业进行了软件安全开发体系建设的深入调研,结果显示很多软件开发组织或多或少执行了软件安全开发的实践,但他们其实并不清楚组织自身的安全开发能力处于哪一个水平,与行业最佳实践有哪些差距。企业如果缺乏整体性的规划,或者方向错误,就会导致安全建设的投入产出比低下,对企业的正常业务发展造成影响。

在此背景下,本项目致力于编写出范围更全面、落地指导性更强、更具适用性的安全开发能力评估框架模型,从而使企业利用该模型更加客观地认识自身软件安全开发的能力,并横向对比业界最佳实践,为软件开发组织提升软件安全开发能力提供依据。

S-SDLC CMM(S-SDLC Capability Maturity Model)是一个“指导式”的软件安全开发能力成熟度评估模型,可作为软件安全能力成熟度的量化评估依据和软件安全开发体系建设的参考指导。

模型特性

(1)根据过往国内IT组织的现实实践情况和难度,合理给出能帮助组织可落地的软件安全评估方案。

(2)以观察打分式为基础的评价体系,更为客观地衡量企业软件安全水平,并针对性地给出提升建议。

(3)衡量解决方案实施过程中的方法和手段,并评价出解决方案在行业中的实践地位。

(4)跟进了近年国内软件安全法规政策,如软件供应链安全、敏感数据安全等问题。

(5)模型具有通用性,适用于不同软件开发模式。

文档下载

S-SDLC CMM

开源网站

S-SDLC CMM – 安全能力评估模型