O model OWASP SAMM

Uma breve apresentação do que é o framework e suas áreas de atuação

Nessa publicação, abordarei o OWASP SAMM (Software Assurance Maturity Model) e sua utilidade na implementação de um programa de segurança de aplicações. Desenvolvido pela Open Worldwide Application Security Project (OWASP), o SAMM é um modelo aberto e gratuito que auxilia organizações na avaliação e aprimoramento de seus programas de segurança de software. Ele oferece uma estrutura abrangente e escalonável, abordando todas as áreas chave de segurança ao longo do ciclo de vida de desenvolvimento de software, como estratégia e métricas, governança, construção e verificação, treinamento e conscientização. A implementação do SAMM permite que as organizações avaliem sua maturidade atual em termos de segurança de software e identifiquem áreas de melhoria para fortalecer seus processos e práticas de segurança. Dessa forma, os riscos associados à segurança de aplicações podem ser adequadamente gerenciados ao longo do tempo.

Mas como funciona o modelo?

O modelo do SAMM é composto por cinco grupos principais de categorias, cada um contendo três subcategorias. Essas categorias e subcategorias abordam processos que têm um impacto direto e indireto em todas as etapas de desenvolvimento. Abaixo, você encontra a tabela do modelo do SAMM:

Governança	Estratégia e métricas	Políticas e conformidade	Educação e orientação
Projetar	Avaliação de ameaça	Requisitos de segurança	Arquitetura de segurança
Implementação	Construção segura	Implantação segura	Gestão de defeitos
Verificação	Avaliação de arquitetura	Testes orientados a requisitos	Testes de segurança
Operação	Gestão de incidentes	Gestão de ambiente	Gestão operacional

Cada uma dessas subcategorias possui uma estrutura dividida em três níveis de maturidade, acompanhados por dois fluxos relacionados a cada nível. Esses fluxos desempenham um papel crucial ao identificar as ações necessárias para alcançar uma determinada categoria de maturidade. Eles orientam as organizações na implementação das medidas adequadas para atingir e manter o nível desejado de maturidade.

Explore as subpáginas para obter uma compreensão mais aprofundada do conteúdo de cada uma delas. No entanto, esteja ciente de que informações mais detalhadas sobre a avaliação do seu nível de maturidade e métodos de implementação serão abordadas em publicações futuras.