¿Qué es SAMM?
El Modelo de Madurez de aseguramiento de Software, es un marco de trabajo abierto que proporciona una guía para integrar seguridad en el desarrollo de software. Ayuda a las organizaciones a formular e implementar una estrategia para Software que sea adecuada a las necesidades especificas que está enfrentando la organización.
Existen otras alternativas a este framework, por mencionar algunos Microsoft SDLC, Oracle.
SAMM fue definido para ser flexible de tal forma que sus pautas pueden ser adheridas a organizaciones pequeñas, medianas o grandes que utilicen cualquier estilo de desarrollo.
SAMM fue construido bajo estos principios:
- Cambios de Comportamiento
- No hay una única receta que funcione para todas las organizaciones
- Los lineamientos relacionados a las actividades de seguridad deben ser especificas.
Historia del proyecto
Las bases de este modelo están construidas alrededor de las funciones de negocio relacionadas al desarrollo de software. Se incluyen una serie de prácticas relacionadas a cada función.
Tiene 3 niveles de madurez:
- Nivel 1 Implementación inicial
- Nivel 2 Implementación estructurada
- Nivel 3 Operación optimizada
Actualmente la versión vigente para la publicación de este post es la 2.0, esta tiene como particularidades el cambió de la función de negocio «Construcción» por «Diseño». <Ajuste para alinearse con DevOps>
En mi experiencia es de gran utilidad este marco de trabajo para iniciar a alinear una organización con buenas prácticas en desarrollo seguro, también hacer parte la la estrategia de seguridad de la organización.
Para esta version 2 nos proveen de varias herramientas para sacar el mayor provecho a este marco de trabajo.
Dashboard
Calculadora Online
Referencias
https://owasp.org/www-project-samm/