您位于: 首页 OWASP培训 软件保证成熟度模型(SAMM) 免费培训

软件保证成熟度模型(SAMM) 免费培训

 

时间:         2011年5月29日晚上8:00-9:00 
内容:         软件保证成熟度模型(SAMM) 免费培训
人数:         25人(由于视频培训系统的收费与参与人数有关,因此很抱歉通知大家,目前我们最多只能支持25方参与。)
培训方式: 在线视频培训
主讲人:     王颉
报名方式:  请提供会员编号发邮件到project邮箱申请。(本次培训为OWASP中国区会员免费提供,非会员可免费加入OWASP中国培训PPT下载。)


王颉简介:

王颉,现为英国拉夫堡大学(Loughborough University)在读博士生。其先后于2007年6月在中国电子科技大学获得本科学位,2008年12月在英国拉夫堡大学(Loughborough University)获得硕士学位。主要研究方向包括:入侵检测、攻击树建模技术、计算机网络等。并在IEEE国际会议和国际期刊杂志中先后发表论文十余篇。

王颉自加入OWASP组织和OWASP中国分会以来, 先后参与了2010年的OWASP新闻通讯简报、2010 OWASP Top 10和OWASP SAMM的翻译工作。并于今年3月起,担任OWASP中文项目的负责人之一,致力于将OWASP的信息推广到更多华语大学、公司企业以及安全社团。

关于王颉的更多信息,请访问:http://www-staff.lboro.ac.uk/~cojw8/index.htm

培训后答疑:

在5月29日举行的OWASP软件保证成熟度模型(SAMM)培训交流活动中,很多安全的专业人士针对SAMM提出了几个代表性的问题。王颉就相关问题咨询了SAMM的原作者,美国Fortify公司的Pravir Chandra先生。近日,Pravir对相关提问进行了解答。 

Q:SAMM和MS的SDL有什么区别?

A:SAMM和MS的SDL有以下主要区别:

(1)       SDL适合于以软件开发为主要业务(开发且销售)的公司,而SAMM更适合于进行自我软件开发且自我使用的企业组织(比如:银行,或在线服务提供商)。以微软为例,当微软发现了一个软件产品漏洞后,他们的做法是建立一个补丁,并分发给数以万计的用户,让他们安装以解决安全漏洞。而以一个银行为例,如果发现一个漏洞,他们仅需要建立一个补丁,并通知他们内部的系统管理员安装补丁,以解决安全漏洞。就“风险暴露”而言,这两个例子有很大的不同。所以,很多以非软件开发为主要业务的组织,会发现在开发过程中使用SDL比较困难。

(2)       另外一个重要的区别是,SAMM有内设的等级制度,以允许企业组织决定通过什么样的程度改善每个单独的安全实践。虽然SDL的优化模块(Optimization Model)在往类似的方向进行改进,但是SDL没有SAMM的这一等级功能。

Q:哪些企业组织使用了SAMM?有没有实际的案例分析?

A:Fortify公司(SAMM的开发公司)直接为超过了20家的组织企业进行了SAMM的使用指导。在OWASP组织中,也有很多会员使用了SAMM。目前估计,在全世界范围内有超过50家的企业组织使用了SAMM建立他们的软件保证计划。

   关于具体的案例分析,出于对客户的商业机密保护,以及遵守与客户合同中的详细条款,暂时不能提供实际的案例分析。但是,在获得客户允许的前提条件下,下一版本的SAMM文档可能会实际介绍SAMM是如何帮助客户建立保证计划的。