Vamos conversar sobre OWASP SAMM!
Hoje, queria trazer um pouco a experiência de utilizar esse Framework.
O significa OWASP SAMM?
- Software Assurance Maturity Model (SAMM)
Ele é um modelo que te permite entender a maturidade do seu sistema/software/aplicação, onde você cria uma estratégia para entender como que a sua aplicação está configurada dentro do SDLC (Ciclo de Desenvolvimento Seguro)
Dessa maneira, você pode montar uma estratégia, após entender como que a aplicação está funcionando, se possui ferramentas de SAST/DAST/SCA, se os desenvolvedores entendem sobre desenvolvimento seguro e até mesmo, para desenvolver no futuro, um programa de Security Champions!
Ele é um modelo muito simples de implementar, onde você pode fazer a avaliação do software junto ao Tech Lead, desenvolvedores, PO e depois, você, como analista de segurança, pode concluir em qual momento aquela aplicação está e gerar um direcionamento.
O SAMM é baseado em 15 práticas de segurança agrupadas em 5 funções de negócios.
- Governance — Gerenciamento da segurança na aplicação
- Design — Arquitetura da aplicação/quais fronteiras e brechas que essa aplicação pode conter
- Implementation — Processo que está sendo implementado até produção
- Verification — Testes na aplicação
- Operations — Como esse software é gerenciado caso haja um incidente, por exemplo
Aqui, podemos baixar o arquivo Excel que podemos usar para as entrevistas e nessa própria planilha, poderemos criar o plano de ação e mostrar para o nosso cliente final, como que essa aplicação está madura em relação ao SDLC.
Nessa planilha, você precisa desbloqueá-la para fazer as alterações. Assim, você possui campos que você precisará responder com base no que foi realizada na entrevista e uma nota será calculada.
Já na próxima aba, será mostrada um Scorecard. Dessa maneira, ficará fácil visualizar os pontos onde se encontra mais maduro na aplicação
Por fim, temos a parte de Roadmap, onde você será seu status inicial (current) e mostrando a classificação durante aquela fase. Dessa forma, você pode analisar quando quer avaliar aquela aplicação novamente, e criar fase 2,3 ou 4. Assim, é possível acompanhar a aplicação por quartil, durante um ano, por exemplo. Conforme for os pontos menos maduros, torna-se simples entender por onde começar a trazer a segurança para dentro da aplicação. Isso pode ocorrer no deploy, definição de KPIs ou mesmo na análise do código.
No final, teremos um acompanhamento direcionado, como mostrado na imagem acima. Portanto, você poderá ativamente tornar a aplicação ainda mais segura.
Como ponto de melhoria para a comunidade, seria interessante criar uma planilha dessas em português também 😊
Links interessantes:
https://www.slideshare.net/BrianGlas/owasp-samm-v15
Espero que tenham gostado 💜
