På utallige oppfordringer skal vi fremover bruke litt tid på å beskrive detaljene i Building Security In Maturity Model. BSIMM er et rammeverk med mål og aktiviteter som brukes i for å integrere sikkerhet i programvare mens den bygges, basert på praksiser som faktisk er i bruk. I Charles Dickens’ ånd gjør vi det som en føljetong, men ettersom verden har gått litt framover siden Pickwick-klubben, hadde vi tenkt å la dere lesere få være med å bestemme rekkefølgen på det som presenteres.
Som mange sikkert husker, tar BSIMM utgangspunkt i et programvaresikkerhetsrammeverk (Software Security Framework) som består av 4 domener som hver er delt inn i 3 praksiser. Hver av praksisene inneholder en rekke mål og aktiviteter som er benyttet blant programvareutviklende bedrifter, blant annet PayPal, Microsoft, F-Secure, Box, Zynga, Visa og Goldman Sachs. Alt etter hvilke aktiviteter som benyttes innenfor en bedrift, er det mulig å si noe om modenhetsnivået på programvaresikkerhetsarbeidet.
De 12 praksisene er tilgjengelige i tabellen under, bare klikk for å åpne en norsk beskrivelse av aktiviteter og mål i et nytt vindu.
|
Software Security Framework |
|||
| Governance | Intelligence | SSDL Touchpoints | Deployment |
| Strategy and Metrics | Attack Models | Architecture Analysis | Penetration Testing |
| Compliance and Policy | Security Features and Design | Code Review | Software Environment |
| Training | Standards and Requirements | Security Testing | Configuration Management and Vulnerability Management |
Se her for neste bloggartikkel om BSIMM.
BSIMM er lisensiert under CC BY SA-3.0