Na de release van BSI-MM is nu ook SAMM uitgebracht. SAMM is een open framework wat een organisatie kan helpen bij het formuleren en uitzetten van een strategie voor software security. SAMM is een OWASP project wat in samenwerking met Fortify is gerealizeerd. Op het hoogste niveau definieerd SAMM vier kritische functies. Elke functie heeft een drietal voorschriften en elk voorschrift heeft drie niveaus als doelen.
Als je ditzo leest ziet het hetzelfde uit als BSI-MM. Dit is niet verbasing wekkend als je er achterkomt dat ze dezelfde basis hebben. Eerst was er e studie waar Fortify aan meehielp. Pas op het moment dat Cigital/Fortify een ander idee had over de richting waarin het model moest gaan is er een splitsing gekomen.
Beide modellen hebben wel dezelfde structuur, maar verschillen van inhoud. Op de website van SAMM zal in de toekomst meer uitleg gegeven gaan worden over de verschillen tussen de twee.
Er zijn genoeg modellen om veilige software te bouwen. Microsoft heeft de SDL, OWASP heeft CLASP en Cigital heeft Touchpoints. Toch is het hebben van zo’n model geen garantie dat het werkt. Het vergt ook iets van de organisatie om met het model goed om te gaan.
Brian Chess, Garry McGraw en Sammy Migues hebben bij negen bedrijven bestudeerd welke onderdelen gemeenschappelijk zijn in de modellen. Deze gemeenschappelijkheden zijn samen gevoegd in, wat ze noemen, het Secure Software Framework. Dit framework is de basis voor het maturity model.
Het model verdeelt beveiliging op in twaalf categorieen, inclusief training, code review en software testen nadat het geschreven is. Elke categorie bevat een aantal activiteiten die kunnen helpen met het maken van veiligere software, zoals het baseren van trainings sessies op bestaande beveiligings incidenten en niet op theoretische. Het is bedoelt voor het hoofd van de IT afdeling en kan vrij gedownload worden.
Binnen de track 1 werd stond het CLASP (Comprehensive, Lightweight Application Security Process) als laatste punt voor de lunch op de agenda. Het CLASP project heeft recentelijk zijn naam van “Comprehensive, Lightweight Application Security Project” naar “Playbook” gewijzigd, zodat de naam beter bij de doelen van het project aansluit.
CLASP ziet zich niet als vervanging van of concurrent van de bestaande processen met betrekking tot het ontwikkelen van veilige software. CLASP verstaat zich als aanvulling voor het goed implementeren van deze.
Zoals de naam doet vermoeden, een draaiboek creëren voor het ontwikkelen van veilige applicaties. Dit wil het CLASP project bereiken door het aanleveren van checklijsten met betrekking tot applicatie security binnen het ontwikkelproces.
De producten van CLASP zijn in 7 aspecten opgedeeld:
- Concept View: Waarin de overige Views, Uses-Cases en de CLASP resources worden uitgelegd
- Role-Based View: Beschrijft de verschillende rollen binnen een software development proces en hun verantwoordelijkheden
- Activity-Assement View: Is de mapping tussen de verschillende, door CLASP geïdentificeerde (security) activiteiten en de door CLASP gedefinieerde rollen.
- Activity-Implementation View: Beschrijft verschillende, door CLASP gedefinieerde “Activities”. Hun doelen en resultaten.
- Vulnerabilities View: Beschrijft verschillende vulnerabilities. Hierbij worden de ernstigheid, waarschijnlijkheid van exploitatie, hoe te voorkomen en voorbeleden genoemd.
- Vulnerabilities Use-Cases: Beschrijft in een gemakkelijk te begrijpen manier, met specifieke voorbeelden, de samenhang tussen design zonder oogmerk op veiligheid, de sourcecode en de hieruit mogelijk resulterende kwetsbaarheid van de applicatie.
- CLASP Resources: Geeft een inzicht in de meest belangrijke concepten welke als basis van CLASP te gronde liggen.
