ソフトウェア・セキュリティ指標と戦略 | BSIMM
https://www.bsimm.com/ja-jp/framework/governance/software-security-metrics-strategy.html
...BSIMM フレームワーク ガバナンス 戦略と指標 戦略と指標 戦略と指標レベル1 戦略と指標分野では、計画、役割と責任の割り当て、ソフトウェア・セキュリティ目標の特定、予算の決定、指標とゲートの特定を行います。 [SM1.1: 81] プロセスを公開し、必要に応じて変更している。...
ソフトウェア・セキュリティ評価レポート | BSIMM
https://www.bsimm.com/ja-jp/download.html
...BSIMM BSIMMをダウンロード BSIMM10をダウンロード セキュリティに科学を導入 バージョン10を迎えたBSIMM セキュア開発成熟度モデル(BSIMM)は、ソフトウェア・セキュリティ対策(SSI)の分析を通じて開発されたデータ・ドリブンのモデルであり、アプリケーション/製品セキュリティ・プログ...
ソフトウェア・セキュリティ開発ライフサイクル(SSDL)| BSIMM
https://www.bsimm.com/ja-jp/framework/software-security-development-lifecycle.html
...BSIMM フレームワーク SSDLタッチポイント SSDLタッチポイント ソフトウェア開発アーチファクトおよびプロセスの解析と保証 SSDLタッチポイントには、特定のソフトウェア開発アーチファクトおよびプロセスの解析と保証に関連する実践法が含まれます。すべてのソフトウェア・セキュリティ・メソドロジーには、これらの実践法が含まれます。...
ソフトウェア・リソースにセキュリティを組み込むには | BSIMM
https://www.bsimm.com/ja-jp/resources.html
...BSIMM 参考資料 参考資料 BSIMM10 レポート PDFをダウンロード BSIMMの視点から見た金融サービス業界のアプリケーション・セキュリティ Webセミナーを視聴する BSIMMの概要 概要をダウンロード BSIMMに関して必要な情報が満載 BSIMMに関してよくあるご質問...
ソフトウェア環境 | BSIMM
https://www.bsimm.com/ja-jp/framework/deployment/software-environment.html
...BSIMM フレームワーク 導入 ソフトウェア環境 ソフトウェア環境 導入:ソフトウェア環境(SE) ソフトウェア環境実践法では、OSやプラットフォームのパッチ適用(クラウドを含む)、Webアプリケーション・ファイアウォール、インストールおよび構成のドキュメンテーション、コンテナ化、オーケストレーシ...
ネットワーク・セキュリティとソフトウェアのメンテナンス | BSIMM
https://www.bsimm.com/ja-jp/framework/deployment.html
...BSIMM フレームワーク 導入 導入 実践のプロセス 導入には、従来のネットワーク・セキュリティとソフトウェア保守企業を仲介する実践法が含まれます。ソフトウェアの構成、メンテナンスおよび他の環境問題が、ソフトウェア・セキュリティに直接影響を与えます。 ペネトレーション・テスト ペネ...
ペネトレーション・テストの種類と修正 | BSIMM
https://www.bsimm.com/ja-jp/framework/deployment/penetration-testing.html
...BSIMM フレームワーク 導入 ペネトレーション・テスト ペネトレーション・テスト ペネトレーション・テストでは、セキュリティの専門家によって実行される標準のアウトサイドイン・テストを使用します。ペネトレーション・テストは、最終構成の脆弱性を中心に検証し、その結果は、不具合の管理と低減に役立ちます。 ペネトレーション・テスト・レベル1 [PT1.1:...
代码审查与代码分析 | BSIMM
https://www.bsimm.com/zh-cn/framework/software-security-development-lifecycle/code-review.html
...BSIMM 框架 SSDL 接触点 代码审查 代码审查 代码审查实践包括使用代码审查工具、开发量身定制的规则、针对不同职务(例如开发人员与审计人员)自定义工具使用的配置文件、人工分析以及跟踪/测量结果。 1 级代码审查 [CR1.2: 80] 安排 SSG 执行特别审查。 SSG 随机对...
关于 BSIMM 的常见问答及事实 | BSIMM
https://www.bsimm.com/zh-cn/about/faq.html
...BSIMM 关于 BSIMM 常见问答 常见问答 本文提供了关于 BSIMM 的常见问答。在此下载 BSIMM 文件,获取完全未经发掘的模型。 什么是 BSIMM? 为什么需要软件安全? 谁需要关注软件安全? BSIMM 有什么特别之处? 你们研究过谁? 谁实际负责软件安全? BSIMM 包含什么? 噢,119...
关于内置安全成熟度模型 | BSIMM
https://www.bsimm.com/zh-cn/about.html
...BSIMM 关于 BSIMM 关于 BSIMM 在软件安全中引进科技 内置安全成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。 BSIMM 既不是操作指南,也不是通用的指导方案。相反, 它是对软件安全的反映。 下载 BSIMM...
如何在软件资源中构建安全 | BSIMM
https://www.bsimm.com/zh-cn/resources.html
...BSIMM 资源 资源 BSIMM10 报告 下载 PDF BSIMM 概览 下载 PDF 透过 BSIMM 棱镜审视金融服务业的应用安全性 观看网络研讨班视频 BSIMM 基本信息 BSIMM 常见问答 下载 PDF 系统介绍 BSIMM 下载信息图...
安全功能与设计 | BSIMM
https://www.bsimm.com/zh-cn/framework/intelligence/security-design.html
...BSIMM 框架 情报 安全功能与设计 安全功能与设计 安全功能& 设计实践负责为主要安全控制措施(满足标准和要求实践中定义的标准)创建可用的安全模式,为这些控制措施建立中间件框架,以及创建和发布其他前瞻性安全指导。 1 级安全功能与设计 [SFD1.1: 98] 构建并发布安全功能。 SSG...
渗透测试类型及补救措施 | BSIMM
https://www.bsimm.com/zh-cn/framework/deployment/penetration-testing.html
...BSIMM 框架 部署 渗透测试 渗透测试 渗透测试实践涉及安全专业人员执行的一类标准的由外向内测试。渗透测试着重研究最终配置中的漏洞,并为缺陷管理和削减团队提供直接反馈信息。 1 级渗透测试 [PT1.1: 109] 聘用外部渗透测试人员查找问题。 借助外部渗透测试人员证明组织的代码需...
漏洞管理与配置管理 | BSIMM
https://www.bsimm.com/zh-cn/framework/deployment/configuration-and-vulnerability-management.html
...BSIMM 框架 部署 配置与漏洞管理 配置管理与漏洞管理 配置管理&与漏洞管理实践涉及修补和更新应用程序、版本控制、缺陷跟踪和补救以及事件处理。 1 级配置管理和漏洞管理 [CMVM1.1: 103] 创建或联合事件响应职能。 SSG 已经准备好对事件或提醒作出响应,并通过创建自己的事...
网络安全与软件维护 | BSIMM
https://www.bsimm.com/zh-cn/framework/deployment.html
...BSIMM 框架 部署 部署 实践流程 部署包括衔接传统网络安全和软件维护组织的实践。软件配置、维护和其他环境问题对于软件安全具有直接影响。 渗透测试 渗透测试实践涉及安全专业人员执行的一类标准的由外向内测试。渗透测试着重关注最终配置中的漏洞,并为缺陷管理和削减提供直接反馈。 了解更多 软件环境...
联系信息 | BSIMM
https://www.bsimm.com/zh-cn/about/contact.html
...BSIMM 关于 BSIMM 联系我们 联系我们 开始测量 软件安全计划怎样才能经得起业绩目标的考验? 对比自己和同行 与同领域的其他软件安全计划相比,贵公司的计划费用如何? 为安全带来科技 利用实际数据推动贵公司软件安全计划改善。 与 BSIMM 合作 请填写表格,之后我们会联系您,洽谈与 BSIMM 合作事宜。...
脆弱性の管理と構成管理 | BSIMM
https://www.bsimm.com/ja-jp/framework/deployment/configuration-and-vulnerability-management.html
...BSIMM フレームワーク 導入 構成と脆弱性の管理 構成管理と脆弱性の管理 構成管理と脆弱性の管理には、アプリケーションのパッチ発行および更新、バージョン管理、不具合の追跡と修正、インシデント処理が含まれます。 構成管理と脆弱性の管理レベル1 [CMVM1.1: 103] インシデント対応の作成または調整。...
软件供应链风险管理 | BSIMM
https://www.bsimm.com/zh-cn/about/bsimm-for-vendors.html
...BSIMM 关于 BSIMM 用于软件供应链的 BSIMM BSIMMsc 在软件供应链中应用 BSIMM 即便您的组织严重依赖第三方软件,您仍然有责任确保软件符合安全预期、遵守合规要求并保护客户数据。 您需要一套基本的安全控制措施,在软件供应链中进行风险管理 我们此前推出一种针对供应商的紧凑型 BSIMM 版本,称为...
软件安全合规与政策 | BSIMM
https://www.bsimm.com/zh-cn/framework/governance/compliance-and-policy.html
...BSIMM 框架 管辖范围 合规与政策 合规与政策 1 级合规与政策 合规&与政策实践着重确定 PCI DSS 和 HIPAA 等合规领域的控制措施、制定服务级协议 (SLA) 等合约控制措施,帮助控制 COTS 软件风险、设定组织软件安全政策,并根据该政策进行审核。 [CP1.1: 81] 统一监管压力。...
软件安全培训 | BSIMM
https://www.bsimm.com/zh-cn/framework/governance/software-security-training.html
...BSIMM 框架 管辖范围 培训 培训 培训一直在软件安全方面发挥重要作用,因为软件开发人员和架构人员起初通常极少了解安全知识。 1 级培训 [T1.1: 77] 开展意识培训。 SSG 提供意识培训,促进在整个组织培养软件安全文化。例如,培训可能通过 SSG 成员、外部公司、内部培训...
软件安全开发周期 (SSDL) | BSIMM
https://www.bsimm.com/zh-cn/framework/software-security-development-lifecycle.html
...BSIMM 框架 SSDL 接触点 SSDL 接触点 软件开发工件和流程的分析和安全保证 SSDL 接触点包括与特定软件开发工件和流程的分析和安全保证相关的实践。所有软件安全方法都包含此类实践。 架构分析 架构分析包括以简明的图表充分体现软件架构、应用风险和威胁列表、采用审查流程(如 STRIDE 或架构风险分析),为组织制定评估和补救计划。...
软件安全情报 | BSIMM
https://www.bsimm.com/zh-cn/framework/intelligence.html
...BSIMM 框架 情报 情报 创建在整个组织运用的企业软件安全活动知识 情报包括形成一个企业知识集合,用于在整个组织执行活动的实践。该知识集合包括前瞻性安全指南和组织威胁模型。 攻击模型 攻击模型捕获信息,用以从攻击者的角度思考问题:威胁建模、滥用案例开发与完善、数据分类和技术专用攻击模式。 了解更多 安全功能与设计...
软件安全指标与策略 | BSIMM
https://www.bsimm.com/zh-cn/framework/governance/software-security-metrics-strategy.html
...BSIMM 框架 管辖范围 策略与指标 策略与指标 1 级策略与指标 策略&与指标实践包含计划、分配职务和职责、确定软件安全目标、决定预算,以及确定指标和关卡。 [SM1.1: 81] 发布流程并作必要完善。 向所有利益相关者通报处理软件安全的流程已经发布,以便所有人都知道相关计划...
软件安全术语表 | BSIMM
https://www.bsimm.com/zh-cn/about/glossary.html
...BSIMM 关于 BSIMM 术语表 软件安全术语表 命名一直是计算机安全面临的一个问题,软件安全也不例外。BSIMM 中使用的一些术语对于我们而言具有特定含义。以下是 BSIMM 中使用的一些最重要的术语: 活动: 软件安全团队 (SSG) 在实践中执行或促成的行动。BSIMM 中的活动分为三个级别。 域:...
软件安全构建成熟度模型 | BSIMM
https://www.bsimm.com/zh-cn.html
...BSIMM10 现已上线,不要错过最新研究成果! 下载 BSIMM 我们的业务 BSIMM 入门其实很简单 开始测量 软件安全计划怎样才能经得起业绩目标的考验? 对比贵公司与本行业其他公司的 SSI 与同领域的其他软件安全计划相比,贵公司的计划费用如何? 为安全带来科技 利用实际数据推动贵公司软件安全计划改善。...
软件安全标准和要求 | BSIMM
https://www.bsimm.com/zh-cn/framework/intelligence/standards-and-requirements.html
...BSIMM 框架 情报 标准和要求 标准和要求 标准 &要求实践涉及向组织征求明确的安全要求、确定推荐哪种 COTS、针对主要安全控制措施(如认证、输入验证等)建立标准、为在用技术创建安全标准,以及创建标准审查委员会。 1 级标准和要求 [SR1.1: 83] 创建安全标准。 SSG 创...
软件安全框架 | BSIMM
https://www.bsimm.com/zh-cn/framework.html
...BSIMM 框架 BSIMM 框架 组成 BSIMM 的软件安全框架可组织 119 项活动,用于评估各个计划。该框架包含 12 项实践, 分别纳入 4 个 域中。 软件安全框架域 管辖范围 帮助组织、管理和测量软件安全计划的实践 了解更多 情报 导致收集企业知识以用于在整个组织开展软件安全活动的实践 了解更多 SSDL...
软件安全的攻击模型 | BSIMM
https://www.bsimm.com/zh-cn/framework/intelligence/attack-models.html
...BSIMM 框架 情报 攻击模型 攻击模型 攻击模型捕获信息,用以从攻击者的角度思考问题:威胁建模、滥用案例开发与完善、数据分类和技术专用攻击模式。 1 级攻击模型 [AM1.2: 80] 创建数据分类方案及清单。 组织的安全利益相关者约定一份数据分类方案,并使用该方案根据(无论是场内或...
软件安全管辖 | BSIMM
https://www.bsimm.com/zh-cn/framework/governance.html
...BSIMM 框架 管辖范围 管辖范围 组织、管理和测量一项软件安全计划 管辖包括帮助组织、管理和测量软件安全计划的实践。人员培养也是核心管辖实践。 策略与指标 策略与指标实践包含计划、分配职务和职责、确定软件安全目标、决定预算和确定指标和关卡等。 了解更多 合规与政策 合规与政策实践侧重于确定 PCI DSS 和 HIPAA...
软件安全评估报告| BSIMM
https://www.bsimm.com/zh-cn/download.html
...BSIMM 下载 BSIMM 下载 BSIMM10 在安全中引进科技 BSIMM 推出第 10 版 构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型,通过对软件安全计划 (SSI)(也称应用/产品安全计划)的分析开发而成。BSIMM10 是针对 SSI 的详细、复杂“量尺”的最新发展成果。通过对 8 个行业垂直领域的 122...
软件环境 | BSIMM
https://www.bsimm.com/zh-cn/framework/deployment/software-environment.html
...BSIMM 框架 部署 软件环境 软件环境 部署:软件环境 (SE) 软件环境实践涉及操作系统和平台补丁(包括在云端)、Web 应用程序防火墙、安装和配置文档、容器化、编排、应用程序监控、变更管理以及代码签名。 1 级软件环境 [SE1.1: 66] 使用应用程序输入监控。 组织监控其运行的软件接受的输入,以便发现攻击。对于 Web...