ISO 15408＆SAMM＆CMMI＆FOCI

通用标准（ISO 15408）指定了评估IT产品而不是供应商资格的标准。

-通用标准评估

FOCI（外国所有权，控制权和影响力）
FOCI（外国所有权，控制权和影响力）是常见的法规要求，例如32 CFR§2004.34和4.30.30。在加拿大的外国所有权，控制权或影响力。CFR是美国联邦法规（Code of Federal Regulations）的首字母缩写。

CMMI（能力成熟度模型集成）
作为收单方，您可以通过有效地使用从供应商的CMMI-DEV的开发计划中获得的信息，从供应商的CMMI-DEV的使用中受益，并避免与不切实际的期望相关的陷阱。（Osiecki）
“ CMMI可以使用两种不同的方法进行评估：分阶段和连续。分阶段方法得出的评估结果是五个成熟度级别之一。连续方法产生四个能力级别之一。” （维基百科）

-CMM和CMMI成熟度级别比较

OWASP SAMM（软件保障成熟度模型）
监於ISACA收购了CMMI Institute，并且材料拥有版权，因此OWASP的SAMM（软件保证成熟度模型）是一个开放项目。

-SAMM模型结构

参考
. 外国所有权控制或影响：FOCI补充数据表
. CMMI：国防部的观点
. 什麽是CMMI？优化开发流程的模型
. 了解和利用供应商的CMMI®努力：收购者指南（V1.3修订版）

资料来源： Wentz Wu QOTD-20210218