Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead [email protected]...
-
Upload
looys-berthelot -
Category
Documents
-
view
105 -
download
0
Transcript of Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead [email protected]...
![Page 1: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/1.jpg)
Software Assurance Maturity Model
http://www.opensamm.org
Pravir ChandraOpenSAMM Project Lead
[email protected] to French by Hubert Grégoire
![Page 2: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/2.jpg)
Sommaire•Inventaires des différentes initiatives
pour la sécurisation des développements
•Comprendre le modèle
•Mettre en oeuvre le modèle
•Explorer les niveaux et actions du modèle
•SAMM dans le monde réel
![Page 3: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/3.jpg)
A la suite de ce cette intriduction vous serez
capables de...• Evaluer les pratiques en sécurité des logiciels
d ’une entreprise
• Construire a plan d’assurance qualité des logiciels équilibré en des étapes bien définies
• Démontrer les améliorations concrètes d’un plan de qualité en sécurité
• Définir et mesurer les actions liées à la sécurité au travers de l’entreprise.
![Page 4: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/4.jpg)
Inventaire des initiatives des méthodes de développement
sécurisées
![Page 5: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/5.jpg)
CLASP• Comprehensive, Lightweight Application Security
Process
• Centré autour des 6 Bonnes Pratiques de l’AppSec
• Recouvre l’ensemble du cycle de vie du logiciel (pas seulement le développement)
• Adaptable à beaucoup de processus de développement
• Définie les rôles de tout le cyle de développement
• 24 mini procédures basé surles rôles
• Commence simplement et s’aligne sur vos besoins
![Page 6: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/6.jpg)
Microsoft SDL
•Crée en interne pour les logicielsMS
•Etendu et rendu public pour les autres
•Seulement des version MS depuis
![Page 7: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/7.jpg)
Touchpoints
•Le modèle de Gary McGraw’s et Cigital’s
![Page 8: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/8.jpg)
Quelles leçons retenir ?
• Microsoft SDL
• Lourd, utilisable chez les gros éditeurs de logiciels
• Touchpoints
• Haut niveau, pas assez de détail pour l’opérationnel
• CLASP
• Large ensemble de tâches, mais pas de priorité
• Tous: Bon pour des experts en guise de manuel, mais complexe à utiliser tel quel pour une population non experte en sécurité
![Page 9: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/9.jpg)
Règles pour le Maturity Model
• Les comportements d’une entreprise changent doucement
• Les changements doivent être itératifs tout au long d’un d’objectifs balisés
• Il n’y a pas qu’une seule recette qui fonctionne dans tous les entreprises
• La solution doit permettre de choisir des options adaptées sur mesure à l’entreprise selon les riques qu’elle veut prendre
• Le guide des tâches de sécurité doit être très précis
• La solution doit fournir assez de détails pour des personnes non expertes en sécurité
![Page 10: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/10.jpg)
Mais, un modèle viable doit...
• Définir les briques de base d’un processus qualité
• Définir les contours de toutes les fonctions à l'intérieur de l’entreprise qui pourront être améliorées avec le temps
• Définir comment les briques doivent s’assembler
• Faire que tout changement dans les itérations soit un non sens
• Définir les détails de chaque brique de façon claire
• Clarifier les parties liées à la sécurité d’une façon le plus générique possible (pour toute entreprise faisant du développement logiciel)
![Page 11: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/11.jpg)
Comprendre le modèle
![Page 12: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/12.jpg)
SAMM Business Functions
•Commencer par les tâches principales d ’une entreprise faisant du développement
•Nommées de façon génériques mais compréhensible par tout développeur ou manager
![Page 13: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/13.jpg)
Les ‘Security Practices’ de SAMM
• A partir de chaque fonctions métiers, 3 ‘Security Practices’ sont définies
• Les ‘Security Practices’ recouvrent toutes la surface de l’assurance sécurité des logiciels
• Chacune est un ‘silo’ pour l’amélioration
![Page 14: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/14.jpg)
Sous chaque ‘Security Practice’
• 3 cibles sous chaque ‘Practice’ définissent comment elle peuvent être améliorées dans le temps
• Cela établie à quel niveau une entreprise se trouve dans cette ‘Practice’
• Les trois niveaux d’une ‘Practice’ sont généralement:
• (0: Point de départ, ‘Practice’ non établie )
• 1: Compréhension initiale, et préparation à la mise en place de la ‘Practice’
• 2: Monté en puissance et/ou ‘Practice’ opérationnelle
• 3: Maitrise complète de la ‘Practice’
![Page 15: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/15.jpg)
Exemple...
![Page 16: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/16.jpg)
Pour chaque niveau, SAMM définie...•Un objectif
•Des tâches
•Des résultats
•Des mesures
•Des coûts
•Des rôles
•Des niveaux relatifs
![Page 17: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/17.jpg)
Approche par l’amélioration itérative
• Jusqu’à ce que les douze ‘Practices’ soient à maturité, les objectifs successifs représentent les briques de base du programme d’assurance sécurité du logiciel
• Simplement s’assurer et améliorer le programme d ’assurance sécurité du logiciel en :
• Choisissant la ‘Practices’ pour améliorer la prochaine phase du programme d’assurance sécurité du logiciel
• Atteindre le prochain objectif de chaque ‘Practice’ en atteignant le seuil de succès de la tâche correspondante
![Page 18: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/18.jpg)
Appliquer le modèle
![Page 19: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/19.jpg)
Mener les évaluations
•SAMM comprends des feuilles d ’évaluation pour chaque ’Security Practice’
![Page 20: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/20.jpg)
Processus d ’évaluation•Supporte à la fois des évaluations
légeres et des évaluations plus complètes
•Certaines entreprise peuvent se retrouver entre deux niveaux (+)
![Page 21: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/21.jpg)
Feuille de score (scorecoard)
• Analyses détaillée
• Mesure des scores des différentes attentes, plutôt qu’un note brute
• Démonstration de l’amélioration
• Mesure des score avant et après une itération du programme d ’assurance sécurité
• Mesure au fil de l’eau
• Mesure des scores sur des période de temps pour un programme déjà en place
![Page 22: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/22.jpg)
Feuilles de route
• Pour rendre les «Briques de base» utilisable, SAMM définie des modèles de feuille de route (Roadmaps) pour certains type d’entreprises
• Editeur de logiciels (ISV)
• Fournisseur de service en ligne (OSP)
• Monde de la finance (FSO)
• Administrations (GO)
• Ces type ont été choisi car
• Ils représente des cas d’usage courant
• Chaque entreprise varie dans un type de risque induits par les logiciels
• Création d'un programme optimal d'assurance adapté
![Page 23: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/23.jpg)
Construire le programme d’assurance
sécurité
![Page 24: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/24.jpg)
Etude de cas•Un passage en revue complet avec des
explications littérale des choix que l’entreprise a fait, et des améliorations
•Chaque phase est décrite en détail
•Contraintes organisationnelles
•Choix faire/acheter
•Une étude de cas existe aujourd’hui, d ’autres issues de partenaires sont en cours
![Page 25: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/25.jpg)
Explorer les niveaux du modèle et les tâches
![Page 26: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/26.jpg)
Le livrable SAMM 1.0
![Page 27: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/27.jpg)
SAMM et le monde réel
![Page 28: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/28.jpg)
Histoire de SAMM•Beta livrée en Août 2008
•version 1.0 livrée en Mars 2009
•Fondé à l’origine par Fortify
•Toujours très actif et utilise ce modèle
•Mis à disposition sous une licence de style Creative Commons
•Cédé à l’OWASP et actuellement un Projet de l’OWASP
![Page 29: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/29.jpg)
Contributions d ’experts
• Fondations basées sur l’expérience issue de plus de 100 entreprises
• Comprenant des experts en sécurité, des développeurs, architectes, et managers IT
![Page 30: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/30.jpg)
Soutenu par l’Industrie
•Plusieurs autres études de cas en cours
![Page 31: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/31.jpg)
Le projet OpenSAMM
• http://www.opensamm.org
• Dédié à la définition, à l’amélioration et aux tests du framework SAMM
• Toujours indépendant de tout éditeur, mais nombreuses participations de l’industry
• Ouvert et géré par la communauté
• Objectif d’une nouvelle version tous les 6-12 mois
• Processus de gestion des changements
• SAMM Enhancement Proposals (SEP)
![Page 32: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/32.jpg)
Projets Futurs•Mise en correspondance avec des
standards et des normes existantes (nombreux projets en cours)
•PCI, COBIT, ISO-17799/27002, ISM3, etc.
•Nouvelles feuilles de route si nécessaire
•Etudes de cas supplémentaires
•Prise en compte des retours pour l’amélioration du modèle
![Page 33: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/33.jpg)
Autres approches “modernes”
•Microsoft SDL Optimization Model
•Fortify/Cigital Building Security In Maturity Model (BSIMM)
![Page 34: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/34.jpg)
SDL Optimization Model
•Fait par MS pour simplifier l’adoption de SDL
![Page 35: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/35.jpg)
BSIMM
•Framework dérivé de la Béta de SAMM
•Basé sur les données consolidées de 9 grands comptes
![Page 36: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/36.jpg)
Récapitulatif rapide sur SAMM
• Evaluer les pratiques existantes des entreprise en matière de sécurité des logiciels
• Construire un programme d’assurance sécurité du logiciel équilibré en étapes successives clairement définies
• Démontrer des améliorations concrètes d’un programme d’assurance sécurité
• Définir et mesurer les actions en matière de sécurité au traveers de l’entreprise
![Page 37: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/37.jpg)
Impliquez vous
•Utilisez SAMM et faites nous un retour
•Blog, email, etc.
•Actualités à http://www.opensamm.org
•Inscrivez vous sur la liste de diffusion
![Page 38: Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to.](https://reader036.fdocuments.fr/reader036/viewer/2022081518/551d9da1497959293b8d00cd/html5/thumbnails/38.jpg)
Merci pour votre attention ! Questions?
http://www.opensamm.org
Pravir ChandraOpenSAMM Project Lead
[email protected] part Hubert Grégoire