**معرفی یک مدل امنیت نرم افزار با نام Building Security In Maturity Model
منابع، کتابها، استانداردها، چارچوبها و مقالات متعددی به موضوع امنیت شبکه، زیرساخت ، ارتباطات ، مدیریت امنیت و سایر حوزه ها پرداخته اند. در مقایسه، منابع، استانداردها و چارچوب های حوزه امنیت نرم افزار نسبت کمتری است. ازینرو شاید بتوان گفت به مبحث امنیت نرم افزار کمتر از بخشهای دیگر حوزه امنیت فناوری اطلاعات پرداخته شده است. قطعا دلایل متعددی را برای آن می توان متصور شد که شاید اندازه گیری دشوار آن و یا ناملموس بودن امنیت نرم افزار در مقایسه با سایر حوزه ها یکی از دلایل باشد.
به نظر بنده، این مسأله در کشور ما بیشتر عیان است و گاهی این ذهیت را پدیدار می سازد که گویی امنیت یک قابلیت است که از جای دیگری باید به یک نرم افزار اضافه می شود. چه بسیار نرم افزارهایی که پس از تولید، امکان امن سازی و حتی ارزیابی امنیتی آنها مهیا نشد و به ناچار در سازمانها و سیستمهایی که برای امنیت نسبت به بر قابلیت ها اولویت بیشتری قائل شدند، هرگز مجال ورود پیدا نکردند.
البته در اینکه سازمانها و موسساتی مانند OWASP و سایرین ، گامهایی در این بحث برداشته اند تردیدی نیست ولی به نظر تلاش های بیشتری تا پر کردن فاصله امنیت نرم افزار با امنیت سایر حوزه ها نیاز است.
البته شخصا امیدوارم این برداشت کاملا نادرست باشد و این ذهنیت فقط به دلیل دانش ناکافی بوجود آمده باشد. از دوستان متخصص در این حوزه تقاضا داریم با دانش کامل تر خود در صورت اشتباه در این گفتار، موارد ذکر شده را اصلاح فرمایند.
با دغدغه های فوق این بار به معرفی یک مدل امنیتی مرجع در حوزه امنیت نرم افزار می پردازیم.
مدل Building Security In Maturity Model که به اختصارBSIMM برای کمک به درک، سنجش و طرح ریزی یک software security initiative طراحی شده است. BSIMM با پایش و تحلیل داده های واقعی از 67 software security initiatives پیشرو ایجاد شده است. داده های شرکت های مختلف جمع آوری و تحلیل گردیده است.
مدل مورد بحث ما BSIMM نسخه 5 یا BSIMM-V می باشد.
در این چارچوب امنیت نرم افزار 12 تمرین(practice) در چهار حوزه حاکمیت(Governance)، هوشمندی(Intelligence)، SSDL Touchpoints و استقرار(Deployment) سازماندهی شده است.
این دوازده تمرین برای سازماندهی 112 فعالیت(activity) مدل BSIMM به کار می روند.
به امید خدا در فرصت های آتی بیشتر این مدل را تشریح خواهیم کرد.
# BSIMM # Building Security In Maturity Model #مدل امنیت نرم افزار #software security model
منابع
https://www.bsimm.com
منابع، کتابها، استانداردها، چارچوبها و مقالات متعددی به موضوع امنیت شبکه، زیرساخت ، ارتباطات ، مدیریت امنیت و سایر حوزه ها پرداخته اند. در مقایسه، منابع، استانداردها و چارچوب های حوزه امنیت نرم افزار نسبت کمتری است. ازینرو شاید بتوان گفت به مبحث امنیت نرم افزار کمتر از بخشهای دیگر حوزه امنیت فناوری اطلاعات پرداخته شده است. قطعا دلایل متعددی را برای آن می توان متصور شد که شاید اندازه گیری دشوار آن و یا ناملموس بودن امنیت نرم افزار در مقایسه با سایر حوزه ها یکی از دلایل باشد.
به نظر بنده، این مسأله در کشور ما بیشتر عیان است و گاهی این ذهیت را پدیدار می سازد که گویی امنیت یک قابلیت است که از جای دیگری باید به یک نرم افزار اضافه می شود. چه بسیار نرم افزارهایی که پس از تولید، امکان امن سازی و حتی ارزیابی امنیتی آنها مهیا نشد و به ناچار در سازمانها و سیستمهایی که برای امنیت نسبت به بر قابلیت ها اولویت بیشتری قائل شدند، هرگز مجال ورود پیدا نکردند.
البته در اینکه سازمانها و موسساتی مانند OWASP و سایرین ، گامهایی در این بحث برداشته اند تردیدی نیست ولی به نظر تلاش های بیشتری تا پر کردن فاصله امنیت نرم افزار با امنیت سایر حوزه ها نیاز است.
البته شخصا امیدوارم این برداشت کاملا نادرست باشد و این ذهنیت فقط به دلیل دانش ناکافی بوجود آمده باشد. از دوستان متخصص در این حوزه تقاضا داریم با دانش کامل تر خود در صورت اشتباه در این گفتار، موارد ذکر شده را اصلاح فرمایند.
با دغدغه های فوق این بار به معرفی یک مدل امنیتی مرجع در حوزه امنیت نرم افزار می پردازیم.
مدل Building Security In Maturity Model که به اختصارBSIMM برای کمک به درک، سنجش و طرح ریزی یک software security initiative طراحی شده است. BSIMM با پایش و تحلیل داده های واقعی از 67 software security initiatives پیشرو ایجاد شده است. داده های شرکت های مختلف جمع آوری و تحلیل گردیده است.
مدل مورد بحث ما BSIMM نسخه 5 یا BSIMM-V می باشد.
در این چارچوب امنیت نرم افزار 12 تمرین(practice) در چهار حوزه حاکمیت(Governance)، هوشمندی(Intelligence)، SSDL Touchpoints و استقرار(Deployment) سازماندهی شده است.
این دوازده تمرین برای سازماندهی 112 فعالیت(activity) مدل BSIMM به کار می روند.
به امید خدا در فرصت های آتی بیشتر این مدل را تشریح خواهیم کرد.
# BSIMM # Building Security In Maturity Model #مدل امنیت نرم افزار #software security model
منابع
https://www.bsimm.com
Blackduck
Building Security Maturity Model (BSIMM) Consulting Services | Black Duck
Building Security in Maturity Model security measurement from Black Duck. Learn more at Blackduck.com.
ما یک تیم شدیم، نه با قرارداد یا اجبار، بلکه با یک خواست مشترک: رشد، یادگیری و ساختن چیزی فراتر از خودمان. ما آدمهایی بودیم با دغدغه، با رؤیاهای بزرگ، با زخمهایی که درمانشان را در دانش، رفاقت، و تلاش جمعی میدیدیم. ما فهمیدیم که کنار هم بودن یعنی دیدن، شنیدن، پذیرفتن و رشد دادن یکدیگر.
تعالی برای ما یک کلمهی تزئینی نبود؛ مسیری بود که با آگاهی، خطا، تجربه، و بازاندیشی طی کردیم. ما خودمان را ساختیم، تیممان را، و بعد هم سعی کردیم به محیطمان معنا بدهیم. با هر جلسهای که گذاشتیم، با هر ایدهای که به اشتراک گذاشتیم، و با هر چالشی که باهم روبهرو شدیم، یک قدم جلوتر رفتیم.
ما فقط برای خودمان نمیخواستیم بهتر شویم؛ میخواستیم جهانِ کوچک اطرافمان را هم یکذره بهتر کنیم.
و حالا که به گذشته نگاه میکنیم، میفهمیم که آنچه ساختیم، فقط یک تیم نبود — بلکه یک جریان بود، یک حرکت اصیل انسانی به سوی روشنایی.
https://t.iss.one/unixmens
#open #source #software #freedom #linux #foss #floss #gnu #devops #culture #life #style #enterprise #opensource
تعالی برای ما یک کلمهی تزئینی نبود؛ مسیری بود که با آگاهی، خطا، تجربه، و بازاندیشی طی کردیم. ما خودمان را ساختیم، تیممان را، و بعد هم سعی کردیم به محیطمان معنا بدهیم. با هر جلسهای که گذاشتیم، با هر ایدهای که به اشتراک گذاشتیم، و با هر چالشی که باهم روبهرو شدیم، یک قدم جلوتر رفتیم.
ما فقط برای خودمان نمیخواستیم بهتر شویم؛ میخواستیم جهانِ کوچک اطرافمان را هم یکذره بهتر کنیم.
و حالا که به گذشته نگاه میکنیم، میفهمیم که آنچه ساختیم، فقط یک تیم نبود — بلکه یک جریان بود، یک حرکت اصیل انسانی به سوی روشنایی.
https://t.iss.one/unixmens
#open #source #software #freedom #linux #foss #floss #gnu #devops #culture #life #style #enterprise #opensource
👏1