构建软件安全计划成熟度模型

指南 你的计划是什么？ 构建软件安全程序成熟度计划 |synopys.com|1 构建SSP成熟度计划 创建软件安全计划（SSP）不仅需要对现有计划和实践进行物理更改，还需要进行意识形态和文化转变。您在成熟和构建安全计划方面取得成功的核心是根据您的特定需求和挑战量身定制的高度详细的路线图。在这个过程中，包括你的带宽、内部人才和负责人的整体买入在内的考虑因素应该会很重要。为了提供对这些关键考虑因素的有用见解，我们提供了一些起点来帮助您上路。 要考虑的内容：您的开始清单 1.识别驱动因素和阻止因素。在深入了解您的计划细节之前，您应该首先收集有关影响您现有安全计划的关键组件的信息，并将在您的改造计划中继续这样做： •成熟。你的成熟度是多少？你已经做得很好了，还是你还有很长的路要走？这将有助于塑造以后的资源需求和时间表问题。 •驱动程序。您提高安全性的外部驱动因素是什么？您有垂直驱动因素吗？合规要求？这些考虑因素将有助于在您创建的计划中确定特定活动的优先级。最有可能的是，您的关键驱动因素将是防止安全漏洞并减轻其长期影响的相关焦虑。 •业务目标。应用程序安全计划的主要业务目标是什么(合规性、风险管理、成为技术解决方案提供商、作为市场差异化的安全性、成本中心目标等)？这些考虑因素也将有助于以后确定优先级和买入。 •利益相关者。谁是您的主要利益相关者:CISO/CIO、AppSec主管、信息安全、IT运营、开发经理?明确谁是您最大的冠军将使您能够在整个 SSP改造过程中利用他们的支持。 2.评估当前状态。收集信息以清楚详细地了解现有SSP是至关重要的。您应该执行考虑以下因素的“运行状况扫描”: •您的业务优先级和关键应用程序安全需求是什么？ •您目前有哪些安全问题、监管压力和风险敞口？ •您当前的安全工具、流程和治理是什么？ •你的软件开发生命周期运行得有多好？ •您当前的应用程序安全程序的总体运行状况如何？ 技术能力考虑因素 在创建计划之前，您必须清楚地了解现有技术的功能，并确定它们是否在为您服务或阻碍您的努力。使您感到沮丧或扮演最小角色的功能可能是您从SSP 中消除的功能。在分析功能时，应考虑以下因素： •摩擦力:该功能是否会导致摩擦或问题？ •自动与手动：这种能力是自动化的还是需要人的触摸？ •用法:该功能在整个投资组合中使用了多少？它起着很大的作用还是仅最低限度地使用？ •机会成本:此功能是否会损害您的功能、交付或其他惩罚？ •补救:功能生成的结果是否映射到根本原因？ •安全影响:这种能力对整个组织有多大的好处？ 在分析您的能力时，建立一个威胁模型来识别您的风险，确定它们的优先级，然后确定应对这些风险的顺序，并选择更高的风险立即解决。这也将有助于确定补救高优先级风险所需的能力，并明确哪些能力最符合您的最高需求。 创建您的计划 使用从这些考虑因素中收集的信息，您现在可以创建有针对性的优先计划，以显示改进SSP的每月进度。你应该： 1.确定您可以立即和廉价地进行的任何改进，以快速获胜。 2.确定运行良好的能力，并制定优先改进目标。这意味着列出你的能力，确定它们有多成熟或你执行得有多好，然后确定改进它们的目标，所有这些都与你的业务风险保持一致。 3.创建未来的状态模型或计划。这就是您未来的SSP的样子。然后，逐个能力地进行工作，以确定您需要采取哪些步骤才能到达那里。 4.在您的计划中纳入业务目标和利益相关者的兴趣。确保您的优先级与这些驱动因素保持一致。 克服专业知识挑战：SynopsysMAP 由于资源，预算和人才限制，如此庞大的任务所带来的复杂性和挑战令人生畏，而且通常不可能使组织独立执行。如果您发现自己缺乏自己解决SSP项目所需的经验和才能，我们可以提供帮助。我们的专家顾问依靠从跨垂直领域数十年的AppSec经验中获得的剧本，因此我们可以为您提供行业领先的专业知识。 项目战略和发展 SSP成熟度行动计划(MAP)是一项咨询项目，可与客户合作，为其应用程序安全计划制定两年计划。我们解决您的特定应用程序安全挑战和目标，为您的安全和开发团队提供可操作的步骤。 MAP首先分析了安全计划的人员、流程和技术的七个关键因素。这可以帮助您发现计划的当前状态，定义未来状态，并概述计划，其中包含实现所需安全目标所需的估计成本和资源。 为建立或完善您的软件安全计划提供明确的方向，MAP是帮助您的SSP战略走向成功的催化剂。 要了解有关MAP的更多信息或立即开始您的MAP 旅程，请访问我们的网站。 |synopys.com|2 |synopys.com|3 Synopsys的区别 Syopsys帮助开发团队构建安全、高质量的软件，最大限度地降低风险，同时最大限度地提高速度和生产力。Syopsys是应用程序安全领域公认的领导者，提供静态分析、软件组成分析和动态分析解决方案，使团队能够快速找到并修复专有代码、开源组件和应用程序行为中的漏洞和缺陷。借助行业领先的工具，服务和专业知识的结合，只有Syopsys可以帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 有关更多信息，请访问www.synopsys.com/software。 Synopsys,Inc. 690EMiddlefieldRoadMountainView,CA94043美国 联系我们： 美国销售额：800.873.8193 国际销售：+1415.321.5237电子邮件：sig-info@synopsys.com ©2021Synopsys,Inc.保留所有权利。Synopsys是Synopsys,Inc.在美国和其他国家的商标。Synopsys商标列表可在www.synopsys.com/copyright.html上找到。此处提及的所有其他名称均为其各自所有者的商标或注册商标。2021年6月