OWASP SAMM Assessment

Gesamtheitliche Überprüfung des Software-Lebenszyklus

Das OWASP SAMM Modell (Software Assurance Maturity Model) bietet einen strukturierten Ansatz zur Bewertung und Planung von gezielten Massnahmen zur Verbesserung der Software-Entwicklungsprozesse. SAMM ist technologie- und prozess-agnostisch und zielt darauf ab, Sicherheitsrisiken zu erkennen und zu minimieren und damit einhergehend das Vertrauen in die Software zu stärken. Dabei wird der Software-Lebenszyklus ganzheitlich analysiert. Dies umfasst neben dem Design und der Umsetzung von Software auch die Steuerung des Prozesses, die Überprüfung vor dem Release und den anschliessenden Betrieb. Durch unsere begleiteten Assessments helfen wir Ihnen, vorhandene Defizite in Ihrem Secure Software Development Lifecycle (SSDLC) zu identifizieren und mittels eines Umsetzungsplans gezielt zu optimieren.

Angebot anfragen

Ausgewählte Referenzen zum Thema

Das OWASP Software Assurance Maturity Model

OWASP SAMM ...

  • liefert eine objektive und messbare Bewertung des aktuellen Reifegrades Ihrer Software-Entwicklungsprozesse
  • deckt Schwachstellen und Verbesserungspotenziale in den Prozessen auf
  • hilft, Sicherheitsaktivitäten zu priorisieren
  • ermöglicht eine gezielte und effiziente Verbesserung der Software-Sicherheit
  • kann an die individuellen Bedürfnisse der Organisation angepasst werden.

Im Modell wird der gesamte Software-Lebenszyklus mit insgesamt fünf Business-Funktionen abgedeckt, welche wiederum in jeweils drei Security Practices unterteilt sind:

Abbildung: OWASP SAMM Modell von https://owaspsamm.org/release-notes-v2/

Die einzelnen Business-Funktionen sind nachfolgend kurz beschrieben.

  • Governance: Prozesse und Aktivitäten rund um die Verwaltung und Steuerung der Software-Entwicklungsaktivitäten. Enthält Elemente wie die strategische Ausrichtung der Unternehmung, Richtlinien und Vorgaben, Metriken zur Messung der Einhaltung dieser Vorgaben und die Weiterbildung von Mitarbeitenden.
  • Design: Prozesse und Aktivitäten zur Definition der Ziele und dem Aufbau von Entwicklungsprojekten. Beinhaltet die Erhebung von Sicherheitsanforderungen, die Erstellung von Risikoprofilen und die Auswahl geeigneter Technologien und Sicherheitsarchitekturen.
  • Implementation: Fokussiert auf die Prozesse und Aktivitäten zur sicheren Erstellung von Software-Komponenten. Elemente innerhalb dieser Funktion haben üblicherweise den grössten direkten Einfluss auf die tägliche Arbeit von Software-Engineers.
  • Verification: Prozesse und Aktivitäten zur Prüfung von Artefakten vor deren Auslieferung. Enthält Elemente zur Prüfung der Einhaltung von Sicherheitsanforderungen, Durchführung von Sicherheitstests und der regelmässigen Überprüfung und Aktualisierung der Architektur.
  • Operations: Prozesse und Aktivitäten zur Gewährleistung der Sicherheit während dem Betrieb einer Anwendung. Neben der sicheren Bereitstellung bezieht sich diese Funktion auch auf den Umgang mit (Security)-Incidents, der regelmässigen Aktualisierung von Komponenten, dem Schutz von Informationen und der Ausserbetriebnahme, nachdem eine Komponente ihr Lebensende erreicht hat.

Warum von Redguard begleiten lassen?

Eine Begleitung eines OWASP SAMM Reviews durch einen erfahrenen Berater von Redguard trägt dazu bei, die Genauigkeit, Effizienz und Effektivität des Reviews zu verbessern. Genauer gesagt hat die Begleitung folgende Vorteile:

  • Expertenwissen und Erfahrung: Unsere Sicherheitsspezialisten haben tiefgreifende Kenntnisse des OWASP SAMM-Modells und seiner Anwendung in verschiedenen Branchen und Organisationen. Aufgrund dieser haben sie wertvolle Einblicke und können bewährte und lösungsorientierte Verfahren vorschlagen, um sicherzustellen, dass der Review alle relevanten Bereiche abdeckt, effektiv ist und gängige zeitraubende Fehler vermieden werden.
  • Genaues und realistisches Bild des aktuellen Reifegrads als unparteiische Partei: Objektive Bewertung der Software-Sicherheitsprozesse eines Unternehmens, ohne von internen Vorurteilen oder Interessenkonflikten beeinflusst zu sein.
  • Effizienz und Zeitersparnis: Beschleunigung des Review-Prozesses indem vorbereitend zur Durchführung der Workshops der Fragebogen auf Basis erhaltener Dokumente bereits vorausgefüllt wird und dadurch richtigen Fragen zur Vervollständigung der relevanten Informationen gestellt werden können.
  • Bessere Identifizierung von Verbesserungsmöglichkeiten: Die Sicherheitsspezialisten haben langjährige Erfahrung in unterschiedlichen Bereichen der (Software)-Sicherheit und haben Zugang zum Know-How von fast 100 weiteren Spezialisten. Diese Erfahrung wird in die Assessments eingebracht, um Schwachstellen und Verbesserungsmöglichkeiten in den Software-Sicherheitsprozessen aufzudecken.
  • Roadmap als konkretes Ergebnis: Unsere erfahrenen Sicherheitsspezialisten können Sie dabei unterstützen, basierend auf dem Ergebnis des OWASP SAMM Assessments eine Roadmap zu erstellen. In dieser werden die nächsten Schritte zur Verbesserung des Reifegrades anhand Ihrer spezifischen Bedürfnisse gemeinsam mit Ihnen festgelegt und priorisiert.

Ablauf eines OWASP SAMM Assessments

Abbildung: Ablauf eines OWASP SAMM Assessments

Kontaktieren Sie uns, wenn Sie Ihren Secure Software Development Lifecycle einem ganzheitlichen Review unterziehen wollen, um das nächste Sicherheitslevel zu erreichen.