软件安全开发能力成熟度模型-SSDLC-CMM-安全标准-安全系统建设-网安云-开源网安

软件安全开发能力成熟度模型

产品文档

立即咨询

产品介绍
测评入口
任务管理

S-SDLC CMM模型结构

S-SDLC CMM模型包含了监管、能力、触点和运维四个大域，又细分为17个子域。模型通过划分安全域、安全子域、安全实践三层结构，将安全能力细化至可客观量化的执行动作，由此得出安全实践客观的执行水平，完成对组织安全能力成熟度的客观评估。

监管监管域描述了软件开发组织制定的软件安全开发流程、合规要求、管理制度等体系化文件；
能力能力域描述了软件开发组织保障各种安全活动所具备的基础设施；
触点触点域描述了软件开发组织在软件开发生命周期当中应该如何融入安全实践；
运维运维域描述了软件开发组织在生产环境和软件上线所需要执行的安全实践。

S-SDLC CMM模型的特征

1以观察打分为基础的评价体系，更为客观地衡量企业软件安全水平，并给出针对性建议；
2每年更新迭代国内外软件安全法规政策要求，跟进最新安全热点问题；
3模型适用于瀑布式、敏捷式等不同软件开发模式。

S-SDLC CMM模型框架

安全能力域

安全能力域划分组织安全能力为四块，分别是：监管、能力、开发过程触点和运维。通过量化四大安全能力域来客观衡量组织的安全能力水平。

安全能力子域

安全能力子域隶属于四大安全能力子域划分，每个安全能力域下划分为若干子域，用于描述构成四大安全能力域的安全能力细分。

安全实践

安全实践是安全能力子域的细分，是软件安全开发过程中需要实施的具体事项，是客观呈现组织安全能力的具体实践。

评价指标

评价指标是客观评价安全实践执行情况的维度划分，通过划分为频率、覆盖率和执行质量这三个维度对安全实践的执行情况进行客观描述。

精选案例

开源网安助力某银行

做银行业S-SDLC先行者，赋能银行信息化发展

为了提升自研软件应用的内生安全，国内某家银行基于开源网安（SecZone）提供的专业咨询服务和领先的S-SDLC实践能力，通过S-SDLC差距分析，获知该银行当前软件安全开发能力，根据差距分析结果，为其改进安全开发能力提供对应的安全能力提升意见和整改措施等指导，最终构建了符合银行自身业务特征的软件安全开发生命周期（S-SDLC）及相关安全开发质量管理解决方案，使该银行整体安全成熟度和安全性得到了飞跃性的提高，其中安全性提高了250%。