OWASP CISOS GUIDE(首席安全官指引)内容解析

第一时间阅读了OWASP CISOS GUIDE,发现这个标准总结的成份比较多一些。主要包含企业应该关注那些风险,以及风险如何应对,还讲解了一些安全度量的相关知识。我总结了一些经典有用的知识点提供给大家。

OWASP CISOS GUIDE下载地址


 

目标

所属安全域

OWASP项目

制定和实施策略、标准和安全应用程序标准

标准和策略

  1. Develop guide – 策略向导

  2. CLASP – 确定安全策略

  3. SAMM – 策略和合规性章节

  4. Code review – 代码审计和合规性

制定、实施和管理应用程序治理

治理

  1. SAMM – 治理章节

  2. ASVS项目

制定和实施软件安全开发以及安全策略流程

安全工程流程

  1. Development guide

  2. Code review

  3. 安全编码规范

  4. Testing guide

  5. CLASP

  6. SAMM

  7. ASVS

应用程序风险策略

风险策略

  1. SAMM – 策略和度量

  2. 应用程序威胁建模 –风险消减策略

安全审计

审计合规

  1. ASVS

  2. CLASP

  3. SAMM – 需求

  4. Testing guide

组织内部应用程序风险安全度量和监控

风险度量和监控

  1. CLASP – 定义和监控度量

  2. SAMM –策略和度量

  3. 应用程序度量类型

评估、识别威胁、漏洞以及对业务的影响

风险分析和管理

  1. OWASP TOP 10 风险

  2. OWSAP TOP 10 手机应用风险

  3. OWASP TOP 10 云安全风险

  4. ASVS

  5. 风险威胁建模

  6. 应用程序威胁建模

评估采购软件的流程、服务技术和安全工具

采购

  1. ASVS

应用程序开发、运营与信息安全培训

培训

  1. CLASP

  2. Education 项目

  3. Appsec 培训视频

  4. 会议视频

  5. 应用安全FAQS

开发和实现业务连续性计划

业务连续性/灾难恢复

  1. 云的业务连续性和弹性

调查和分析安全性事故和漏洞修复建议以及纠正措施

漏洞管理与应急响应

  1. SAMM漏洞管理

  2. CLASP – 应用程序报告流程

 

 

参考文献:

Owasp ciso guide :

https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs

  1. Owasp developer guide :

https://www.owasp.org/index.php/Projects/OWASP_Development_Guide

Owasp CLASP project

https://www.owasp.org/index.php/Category:OWASP_CLASP_Project

Owasp code review

https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project

SAMM

http://www.opensamm.org/

Owasp Testing guide

https://www.owasp.org/index.php/OWASP_Testing_Project

Owasp asvs

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project

OWASP Application Theat modeling

https://www.owasp.org/index.php/Application_Threat_Modeling

OWASP TOP 10

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

源链接

Hacking more

...