软件保证成熟度模型（SAMM）-安全冠军(Security Champion)

-SAMM 概述（来源：https : //owaspsamm.org）
软件保障成熟度模型（SAMM）是一个 OWASP 专案，一个规范模型和一个开放框架，使用简单、定义完整且可衡量。SAMM 2.0 包含五个业务功能（治理、设计、实施、验证和操作），它们主要遵循逻辑顺序或映射到通用软件开发生命周期。每个业务功能都有通过两个流连接的三个安全实践，将它们组织成一个层次结构以进行性能测量。换句话说，每个安全实践的活动属於流 A 或流 B。安全实践的成熟度级别，作为软件保证目标，可以分为三个级别。

[Stream B] 确定教育和指导的安全拥护者，成熟度级别 1
“确定安全冠军”是安全实践、教育和指导的 Stream B 活动，处於成熟度级别 1。它带来了安全在开发组织中的基本嵌入的好处。以下摘自OWASP SAMM v2.0 – 核心模型文档：
. 实施一个计划，其中每个软件开发团队都有一名成员被视为“安全冠军”，他是资讯安全和开发人员之间的联络人。
. 根据团队的规模和结构，“安全冠军”可能是软件开发人员、测试人员或产品经理。
. “安全冠军”每周有固定的小时数用於资讯安全相关活动。他们定期参加简报会，以提高对不同安全学科的认识和专业知识。
. “安全冠军”接受了额外的培训，以帮助培养这些软件安全主题专家的角色。出於文化原因，您可能需要自定义创建和支持“安全冠军”的方式。
. 该职位的目标是提高应用程序安全和合规性的有效性和效率，并加强各个团队与资讯安全之间的关系。为实现这些目标，“安全冠军”协助研究、验证和确定与安全和合规性相关的软件缺陷的优先级。他们参与所有风险评估、威胁评估和架构审查，通过使应用程序架构更具弹性并减少攻击威胁面来帮助确定修复安全缺陷的机会。
. 除了协助资讯安全之外，“安全冠军”还为专案团队定期审查所有与安全相关的问题，以便每个人都了解问题以及任何当前和未来的补救工作。通过让整个开发团队参与进来，这些评论被用来帮助集思广益解决更复杂的问题。
评估问题
您是否为每个开发团队确定了一名安全冠军？
– 否
– 是，对於某些团队
– 是，对於至少一半的团队
– 是，对於大多数或所有团队

质量标准
– 安全冠军接受适当的培训
– 应用程序安全和开发团队会定期收到安全冠军的简报安全计划和修复的总体状态
——安全冠军在添加到应用程序积压之前审查外部测试的结果

[Stream A] 定制安全培训、教育和指导@成熟度级别 2
安全冠军就 SDLC 各个阶段的安全主题进行培训。他们接受与开发人员和测试人员相同的培训，但也了解威胁建模和安全设计，以及可以集成到构建环境中的安全工具和技术。

[Stream B] 建立安全社区，教育和指导@成熟度级别 3
围绕角色和职责形成社区，并使来自不同团队和业务部门的开发人员和工程师能够自由交流并从彼此的专业知识中受益。鼓励参与，建立一个计划来提升那些帮助最多的人成为思想领袖，并让管理层认可他们。除了提高应用程序安全性之外，该平台还可以根据他们的专业知识和帮助他人的意愿帮助确定安全软件卓越中心的未来成员或“安全冠军”。

[Stream B] 标准化和扩展威胁建模，威胁评估@成熟度级别 2
培训您的架构师、安全拥护者和其他利益相关者如何进行实际威胁建模。威胁建模需要理解、清晰的剧本和模板、特定於组织的示例和经验，这些都很难实现自动化。

[Stream B] 建立渗透测试流程，Security Testing @ Maturity Level 2
渗透测试案例包括用於检查业务逻辑健全性的特定於应用程序的测试，以及用於检查设计和实现的常见漏洞测试。一旦指定，精通安全的质量保证或开发人员就可以执行安全测试用例。中央软件安全组监控专案团队安全测试用例的首次执行，以协助和指导团队安全冠军。

[Stream B] 建立持续的、可扩展的安全验证，安全测试@成熟度级别 3
安全冠军和中央安全软件小组在开发过程中不断审查自动和手动安全测试的结果，将这些结果作为开发团队安全意识培训的一部分。整合整体剧本中的经验教训，以改进作为组织发展一部分的安全测试。如果有未解决的发现仍然是发布的可接受风险，利益相关者和开发经理应共同制定解决这些问题的具体时间表。

参考
. OWASP SAMM 2.0
资料来源： Wentz Wu QOTD-202107014
My Blog: https://choson.lifenet.com.tw/