S-SDLC CMM模型是一个开源模型,其构建源自SecZone安全咨询团队过去十年来对数十家全球500强IT企业安全开发流程实践经验的深入分析与总结。该模型框架参考了国内外相关标准规范,经过多家国内企业的认证和实践,总结出一套行之有效的解决方案,更适合于国内企业的安全开发评级与实施。
S-SDLC CMM针对软件安全研发过程设立了多个实践活动进行评估,从若干维度来体现每一个研发过程与细节的实施状态,试图更准确地识别出企业安全研发的实施现状。
1.概念
S-SDLC CMM模型是S-SDLC咨询团队在多年企业软件开发安全咨询领域的经验沉淀。该模型完整定义了标准的软件安全开发流程和安全实践,用于评估和指导软件组织的开发安全体系建设。
2.模型发展
S-SDLC CMM的构建起源于SecZone安全服务团队在过去10年来集数十家全球500强IT企业安全开发流程实践经验的深度分析与总结。S-SDLC CMM团队同时也是国家测评中心企业软件安全开发能力成熟度认证体系构建的参与方。S-SDLC CMM框架参考了国内外相关标准规范,经过国内多家企业的认证和实践,在实践中总结出一套行之有效的解决方案得出更适合于国内企业的安全开发评级与落地的解决方案。
S-SDLC CMM针对软件安全研发过程设立了多个实践活动进行评估,从若干维度来体现每 一个研发过程与细节的实施状态,试图更准确地识别出企业安全研发的实施现状。
3.模型结构
S-SDLC CMM综合了软件开发的一般流程,包含了监管、能力、开发过程接触点和运维4个域,其中分为具体18个子域。S-SDLC CMM的成熟度将是对这18个子域进行综合评分而得来,18个子域对应了54个相关实践,最终的咨询报告也将基于这些实践内容进行同行参考。一般来说,监管域着重强调组织对于软件安全的所采取的制度、流程等政策性保障;能力域强调了软件安全开发的能力支撑;开发过程接触点域强调了软件安全开发的实施过程,融入了生命周期理念;运维域强调了软件上线后的安全支持。
S-SDLC CMM整体结构如下表:
4.模型特征
以观察打分为基础的评价体系,更为客观地衡量企业软件安全水平,并给出针对性建议。
每年更新迭代国内外软件安全法规政策要求,跟进最新安全热点问题。
模型适用于瀑布式、敏捷式等不同软件开发模式。
5.模型成熟度级别
S-SDLC CMM定义了5个成熟度级别以表示S-SDLC评估子域和组织能力成熟度,具体如下表:
表1 S-SDLC CMM成熟度级别说明