SAMM（软件保证成熟度模型）

4.SAMM（软件保证成熟度模型）

软件保证成熟度模型（Software Assuranc,e Maturity Mocle，SAMM）最初是由独立软件安全顾问Pravir Chandra创建，并由Fortify软件公司资助。SAMM于2009年正式发布1.0版本，目前由OWASP组织作为一个开放的项目来维护。

SAMM提供了一个开放的框架，用以帮助软件公司制定并实施所面临来自软件安全的特定风险的策略，SAMM提供的资源可用于：

◇评估一个组织已有的软件安全实践；

◇建立一个迭代的权衡的软件安全保证计划；

◇证明安全保证计划带来的实质性改善；

◇定义并衡量组织中与安全相关的措施。

SAMM规定了四个软件开发过程中的核心业务功能，包括治理、构造、验证以及部署， 这四个业务功能各包括了三个安全实践。其中：

1)治理：专注软件开发企业组织管理其软件安全开发相关的过程、活动和措施，主要包括策略与指标、教育与指导、政策与遵守等三项安全实践；

2)构造：关注与软件安全开发中需求、目标和架构方面的过程、活动和措施，主要包括安全需求、威胁评估和安全架构三个方面的安全实践；

3)验证：注重软件检查和测试中的过程、活动和措施，主要包括设计审核、安全测试和代码审核三项安全实践；

4)部署：强调了软件发布和部署配置时相关的过程、活动和措施，主要包括环境强化、漏洞管理和操作启用三项安全实践。