Software Assurance Maturity Model http://www.opensamm.org - PowerPoint PPT Presentation

About This Presentation
Title:

Software Assurance Maturity Model http://www.opensamm.org

Description:

http://www.opensamm.org Pravir Chandra OpenSAMM Project Lead chandra_at_owasp.org Translated to French by Hubert Gr goire hubert_at_gregware.fr SDL Optimization Model Fait ... – PowerPoint PPT presentation

Number of Views:256
Avg rating:3.0/5.0
Slides: 39
Provided by: opensammO
Learn more at: https://opensamm.org
Category:

less

Transcript and Presenter's Notes

Title: Software Assurance Maturity Model http://www.opensamm.org


1
Software Assurance Maturity Modelhttp//www.opens
amm.org
  • Pravir Chandra
  • OpenSAMM Project Lead
  • chandra_at_owasp.org
  • Translated to French by Hubert Grégoirehubert_at_gre
    gware.fr

2
Sommaire
  • Inventaires des différentes initiatives pour la
    sécurisation des développements
  • Comprendre le modèle
  • Mettre en oeuvre le modèle
  • Explorer les niveaux et actions du modèle
  • SAMM dans le monde réel

3
A la suite de ce cette intriduction vous serez
capables de...
  • Evaluer les pratiques en sécurité des logiciels
    dune entreprise
  • Construire a plan dassurance qualité des
    logiciels équilibré en des étapes bien définies
  • Démontrer les améliorations concrètes dun plan
    de qualité en sécurité
  • Définir et mesurer les actions liées à la
    sécurité au travers de lentreprise.

4
Inventaire des initiatives des méthodes de
développement sécurisées
5
CLASP
  • Comprehensive, Lightweight Application Security
    Process
  • Centré autour des 6 Bonnes Pratiques de lAppSec
  • Recouvre lensemble du cycle de vie du logiciel
    (pas seulement le développement)
  • Adaptable à beaucoup de processus de
    développement
  • Définie les rôles de tout le cyle de
    développement
  • 24 mini procédures basé surles rôles
  • Commence simplement et saligne sur vos besoins

6
Microsoft SDL
  • Crée en interne pour les logicielsMS
  • Etendu et rendu public pour les autres
  • Seulement des version MS depuis

7
Touchpoints
  • Le modèle de Gary McGraws et Cigitals

8
Quelles leçons retenir ?
  • Microsoft SDL
  • Lourd, utilisable chez les gros éditeurs de
    logiciels
  • Touchpoints
  • Haut niveau, pas assez de détail pour
    lopérationnel
  • CLASP
  • Large ensemble de tâches, mais pas de priorité
  • Tous Bon pour des experts en guise de manuel,
    mais complexe à utiliser tel quel pour une
    population non experte en sécurité

9
Règles pour le Maturity Model
  • Les comportements dune entreprise changent
    doucement
  • Les changements doivent être itératifs tout au
    long dun dobjectifs balisés
  • Il ny a pas quune seule recette qui fonctionne
    dans tous les entreprises
  • La solution doit permettre de choisir des options
    adaptées sur mesure à lentreprise selon les
    riques quelle veut prendre
  • Le guide des tâches de sécurité doit être très
    précis
  • La solution doit fournir assez de détails pour
    des personnes non expertes en sécurité

10
Mais, un modèle viable doit...
  • Définir les briques de base dun processus
    qualité
  • Définir les contours de toutes les fonctions à
    l'intérieur de lentreprise qui pourront être
    améliorées avec le temps
  • Définir comment les briques doivent sassembler
  • Faire que tout changement dans les itérations
    soit un non sens
  • Définir les détails de chaque brique de façon
    claire
  • Clarifier les parties liées à la sécurité dune
    façon le plus générique possible (pour toute
    entreprise faisant du développement logiciel)

11
Comprendre le modèle
12
SAMM Business Functions
  • Commencer par les tâches principales dune
    entreprise faisant du développement
  • Nommées de façon génériques mais compréhensible
    par tout développeur ou manager

13
Les Security Practices de SAMM
  • A partir de chaque fonctions métiers, 3
    Security Practices sont définies
  • Les Security Practices recouvrent toutes la
    surface de lassurance sécurité des logiciels
  • Chacune est un silo pour lamélioration

14
Sous chaque Security Practice
  • 3 cibles sous chaque Practice définissent
    comment elle peuvent être améliorées dans le
    temps
  • Cela établie à quel niveau une entreprise se
    trouve dans cette Practice
  • Les trois niveaux dune Practice sont
    généralement
  • (0 Point de départ, Practice non établie )
  • 1 Compréhension initiale, et préparation à la
    mise en place de la Practice
  • 2 Monté en puissance et/ou Practice
    opérationnelle
  • 3 Maitrise complète de la Practice

15
Exemple...
16
Pour chaque niveau, SAMM définie...
  • Un objectif
  • Des tâches
  • Des résultats
  • Des mesures
  • Des coûts
  • Des rôles
  • Des niveaux relatifs

17
Approche par lamélioration itérative
  • Jusquà ce que les douze Practices soient à
    maturité, les objectifs successifs représentent
    les briques de base du programme dassurance
    sécurité du logiciel
  • Simplement sassurer et améliorer le programme
    dassurance sécurité du logiciel en
  • Choisissant la Practices pour améliorer la
    prochaine phase du programme dassurance sécurité
    du logiciel
  • Atteindre le prochain objectif de chaque
    Practice en atteignant le seuil de succès de la
    tâche correspondante

18
Appliquer le modèle
19
Mener les évaluations
  • SAMM comprends des feuilles dévaluation pour
    chaque Security Practice

20
Processus dévaluation
  • Supporte à la fois des évaluations légeres et des
    évaluations plus complètes
  • Certaines entreprise peuvent se retrouver entre
    deux niveaux ()

21
Feuille de score (scorecoard)
  • Analyses détaillée
  • Mesure des scores des différentes attentes,
    plutôt quun note brute
  • Démonstration de lamélioration
  • Mesure des score avant et après une itération du
    programme dassurance sécurité
  • Mesure au fil de leau
  • Mesure des scores sur des période de temps pour
    un programme déjà en place

22
Feuilles de route
  • Pour rendre les Briques de base utilisable,
    SAMM définie des modèles de feuille de route
    (Roadmaps) pour certains type dentreprises
  • Editeur de logiciels (ISV)
  • Fournisseur de service en ligne (OSP)
  • Monde de la finance (FSO)
  • Administrations (GO)
  • Ces type ont été choisi car
  • Ils représente des cas dusage courant
  • Chaque entreprise varie dans un type de risque
    induits par les logiciels
  • Création d'un programme optimal d'assurance adapté

23
Construire le programme dassurance sécurité
24
Etude de cas
  • Un passage en revue complet avec des explications
    littérale des choix que lentreprise a fait, et
    des améliorations
  • Chaque phase est décrite en détail
  • Contraintes organisationnelles
  • Choix faire/acheter
  • Une étude de cas existe aujourdhui, dautres
    issues de partenaires sont en cours

25
Explorer les niveaux du modèle et les tâches
26
Le livrable SAMM 1.0
27
SAMM et le monde réel
28
Histoire de SAMM
  • Beta livrée en Août 2008
  • version 1.0 livrée en Mars 2009
  • Fondé à lorigine par Fortify
  • Toujours très actif et utilise ce modèle
  • Mis à disposition sous une licence de style
    Creative Commons
  • Cédé à lOWASP et actuellement un Projet de
    lOWASP

29
Contributions dexperts
  • Fondations basées sur lexpérience issue de plus
    de 100 entreprises
  • Comprenant des experts en sécurité, des
    développeurs, architectes, et managers IT

30
Soutenu par lIndustrie
  • Plusieurs autres études de cas en cours

31
Le projet OpenSAMM
  • http//www.opensamm.org
  • Dédié à la définition, à lamélioration et aux
    tests du framework SAMM
  • Toujours indépendant de tout éditeur, mais
    nombreuses participations de lindustry
  • Ouvert et géré par la communauté
  • Objectif dune nouvelle version tous les 6-12
    mois
  • Processus de gestion des changements
  • SAMM Enhancement Proposals (SEP)

32
Projets Futurs
  • Mise en correspondance avec des standards et des
    normes existantes (nombreux projets en cours)
  • PCI, COBIT, ISO-17799/27002, ISM3, etc.
  • Nouvelles feuilles de route si nécessaire
  • Etudes de cas supplémentaires
  • Prise en compte des retours pour lamélioration
    du modèle

33
Autres approches modernes
  • Microsoft SDL Optimization Model
  • Fortify/Cigital Building Security In Maturity
    Model (BSIMM)

34
SDL Optimization Model
  • Fait par MS pour simplifier ladoption de SDL

35
BSIMM
  • Framework dérivé de la Béta de SAMM
  • Basé sur les données consolidées de 9 grands
    comptes

36
Récapitulatif rapide sur SAMM
  • Evaluer les pratiques existantes des entreprise
    en matière de sécurité des logiciels
  • Construire un programme dassurance sécurité du
    logiciel équilibré en étapes successives
    clairement définies
  • Démontrer des améliorations concrètes dun
    programme dassurance sécurité
  • Définir et mesurer les actions en matière de
    sécurité au traveers de lentreprise

37
Impliquez vous
  • Utilisez SAMM et faites nous un retour
  • Blog, email, etc.
  • Actualités à http//www.opensamm.org
  • Inscrivez vous sur la liste de diffusion

38
Merci pour votre attention ! Questions?http//ww
w.opensamm.org
  • Pravir Chandra
  • OpenSAMM Project Lead
  • chandra_at_owasp.org
  • Traduit part Hubert Grégoirehubert_at_gregware.fr
Write a Comment
User Comments (0)
About PowerShow.com