Innebygd sikkerhet og modenhet

The Building Security In Maturity Modelgary-potter (BSIMM) er et forsøk på å måle hvordan bedrifter jobber med programvaresikkerhet. Å måle sikkerheten til et gitt program er vanskelig, så BSIMM prøver i stedet å gi et bilde på hvilke aktiviteter innenfor sikker programvareutvikling forskjellige virksomheter bedriver. BSIMM gir ikke noe fasitsvar, men kan gi en indikasjon på hvordan man ligger an sammenlignet med “bedrifter vi liker å sammenligne oss med”.


BSIMM er delt inn i 12 “praksiser”, som det fremgår av tabellen under:

The Software Security Framework (SSF)
Governance Intelligence SSDL Touchpoints Deployment
Strategy and Metrics Attack Models Architecture Analysis Penetration Testing
Compliance and Policy Security Features and Design Code Review Software Environment
Training Standards and Requirements Security Testing Configuration Management and Vulnerability Management

Ved å klikke på feltene i tabellen, kan man få mer informasjon. Hver praksis har flere underaktiviteter, gruppert i 3 nivåer. Som et eksempel, kan man her se hvordan de “beste” virksomhetene dekker de forskjellige aktivitetene:

bsimm-spider

Som sagt, dette er ikke ment å være en fasit, der alt rett er nivå 3 på alle praksiser, men det kan gi en indikasjon dersom man kan se at andre virksomheter i samme bransje er vesentlig bedre enn egen virksomhet innen (f.eks.) kodegjennomgang. Da må man spørre seg: Kaster alle andre tid og penger ut av vinduet, eller har de skjønt noe som du ikke har fått med deg?

Gary er på jakt etter flere bedrifter som ønsker å finne ut hvordan de ligger an i forhold til programvaresikkerhet – er dette noe for dere? Vi formidler gjerne kontakt!

Se forøvrig denne artikkelen fra fjorårets CD-ARES konferanse:

Martin Gilje Jaatun: “Hunting for Aardvarks: Can Software Security be Measured?” CD-ARES 2012: 85-92

Se her for neste bloggartikkel om BSIMM.

For enda mer informasjon, se Gary’s innlegg med påfølgende intervju på HP Protect konferansen for noen uker siden:

Bilde av Gary McGraw fra Defense Against the Dark Arts,
University of Virginia Computer Science Department