OWASP SwSec 5D安全软件开发成熟度参考框架发布

2023年5月，OWASP宣布推出了一个五维安全软件开发成熟度参考框架（SwSec 5D）。功能是为安全软件开发提供路线图，并且使用它可以帮助提高软件供应链的安全性。

OWASP SwSec 5D的项目负责人是IMQ Minded Security的首席执行官Matteo Meucci。该公司是一家SDLC咨询公司，Meucci自2002年以来一直与OWASP合作。5D的SDLC方法是由IMQ Minded Security构思的，在2018年捐赠给OWASP，并经过OWASP的完善后发布。

Meucci表示：“我在我们的客户中看到，许多公司对于安全软件开发的方法是测试、测试和更多的测试 - 这是不够的。虽然有像瀑布模型和敏捷方法论这样的软件开发生命周期（SDLC）模型，但这些传统模型缺乏对安全的明确关注，使它们无法解决软件开发安全问题。”

这个基本观察促使Meucci和OWASP开发了这一新的5D安全SDLC框架。Meucci认为安全开发有五个独立的维度，而且这五个维度都必须得到充分满足。

这五个维度包括流程、测试、团队、意识和标准。SwSec 5D模型是一个满足和衡量公司在这五个维度上成熟度的框架和工具。该框架在OWASP软件安全5D框架文档（PDF下载见文末）中有详细描述，而用于成熟度评估的工具是一个在线的Google表单。成熟度测量过程只需要几个小时，可以找出弱点并进行改进。

l PROCESSES流程维度，是用于在SDLC期间管理安全风险的流程，例如风险评估、安全要求、威胁建模、安全设计、软件验收和安全漏洞修复。

l TEAM团队维度，描述了安全开发所需的人员职能，例如AppSec经理或CISO、安全冠军、AppSec专家、卫星架构师、卫星开发人员和卫星审计员。

l AWARENESS意识维度，侧重于软件开发生命周期中涉及的团队成员的意识和培训。

l TESTING测试维度，侧重于对软件进行测试和评估，包括使用SAST、DAST、IAST和RASP等工具。手动测试应通过安全代码审查和渗透测试进行。‍

l STANDARDS标准维度，侧重于使用现有的开发标准，例如OWASP SAMM模型。

成熟度评估通过简单的问卷调查完成，并根据回答进行评分（例如问题示例：“您的大多数应用程序和资源是否按照风险分类？”）。每个回答都被赋予0到3的分数，而完全成熟的安全SDLC将得到一个平均值为3的分数。

在自己的模型测试过程中，OWASP在12家金融机构和5家ISV独立软件供应商上使用了该框架。金融机构的评分始终高于ISV，尽管两组在任何地方都没有达到平均分为3的水平。金融机构在“测试”方面得分为2.5（ISV得分为1.6）；但在“流程”方面仅得分1.7（ISV得分为1.5）。

考虑到美国国家网络安全战略要重新调整网络安全的责任，并坚持“security by design”，ISV的相对较差表现可能令人担忧。这暗示着软件供应商可能越来越被迫对他们开发和销售的软件的安全性负责。

Meucci和OWASP相信，有效的安全SDLC需要在所有五个维度上具有可证明的成熟度。SwSec 5D成熟度模型将帮助企业在其内部开发中实现更高的安全性，并通过量化购买的Web应用程序的安全成熟度，促进软件供应链的安全。虽然它最终是一个勾选框的练习，但购买者对文件证据的坚持可能是一个有效的解决方案 - 由于该过程只需几个小时，购买方的首席信息安全官（CISO）可以参与供应商使用OWASP SwSec 5D SDLC评估过程。

相关链接：

https://www.securityweek.com/owasp-swsec-5d-tool-provides-sdlc-maturity-ratings-aids-software-supply-chain/

https://owasp.org/www-project-software-security-5d-framework/

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。