4.SAMM（軟件保證成熟度模型）

軟件保證成熟度模型（Software Assuranc,e Maturity Mocle，SAMM）最初是由獨立軟件安全顧問Pravir Chandra創(chuàng)建，并由Fortify軟件公司資助。SAMM于2009年正式發(fā)布1.0版本，目前由OWASP組織作為一個開放的項目來維護(hù)。

SAMM提供了一個開放的框架，用以幫助軟件公司制定并實施所面臨來自軟件安全的特定風(fēng)險的策略，SAMM提供的資源可用于：

◇評估一個組織已有的軟件安全實踐；

◇建立一個迭代的權(quán)衡的軟件安全保證計劃；

◇證明安全保證計劃帶來的實質(zhì)性改善；

◇定義并衡量組織中與安全相關(guān)的措施。

SAMM規(guī)定了四個軟件開發(fā)過程中的核心業(yè)務(wù)功能，包括治理、構(gòu)造、驗證以及部署， 這四個業(yè)務(wù)功能各包括了三個安全實踐。其中：

1)治理：專注軟件開發(fā)企業(yè)組織管理其軟件安全開發(fā)相關(guān)的過程、活動和措施，主要包括策略與指標(biāo)、教育與指導(dǎo)、政策與遵守等三項安全實踐；

2)構(gòu)造：關(guān)注與軟件安全開發(fā)中需求、目標(biāo)和架構(gòu)方面的過程、活動和措施，主要包括安全需求、威脅評估和安全架構(gòu)三個方面的安全實踐；

3)驗證：注重軟件檢查和測試中的過程、活動和措施，主要包括設(shè)計審核、安全測試和代碼審核三項安全實踐；

4)部署：強調(diào)了軟件發(fā)布和部署配置時相關(guān)的過程、活動和措施，主要包括環(huán)境強化、漏洞管理和操作啟用三項安全實踐。