OWASP SAMM
定義
ソフトウェアセキュリティ活動の現状を評価し、ガバナンス、設計、実装、検証、運用の各領域を段階的に改善するためのOWASP成熟度モデル。
詳細解説
SAMMは個別アプリの技術要件を確認するASVSとは異なり、組織の開発プロセスと能力を改善するために使います。現在地を評価し、事業リスクに合う目標レベルと小さな改善計画を設定します。
ポイント
- 初心者向けには「安全な開発を続ける組織の仕組みが、どの段階にあるか測る物差し」と捉える
- ASVSはアプリの検証要件、SAMMは組織的なソフトウェア保証能力を扱う
- 高い成熟度を目的化せず、リスクと事業優先度に合う改善を選ぶ
関連用語
公式情報・参考情報
よくある質問
OWASP SAMMとは?
ソフトウェアセキュリティ活動の現状を評価し、ガバナンス、設計、実装、検証、運用の各領域を段階的に改善するためのOWASP成熟度モデル。
OWASP SAMMについて詳しく知るには?
SAMMは個別アプリの技術要件を確認するASVSとは異なり、組織の開発プロセスと能力を改善するために使います。現在地を評価し、事業リスクに合う目標レベルと小さな改善計画を設定します。
OWASP SAMMのポイントは?
初心者向けには「安全な開発を続ける組織の仕組みが、どの段階にあるか測る物差し」と捉える ASVSはアプリの検証要件、SAMMは組織的なソフトウェア保証能力を扱う 高い成熟度を目的化せず、リスクと事業優先度に合う改善を選ぶ
同じカテゴリの用語(フレームワーク)
利用者のアクセス権が現在も必要で妥当かを、管理者や業務オーナーが定期的に確認・承認するプロセス。…
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…