Jsem rád, že mohu oznámit další překlad materiálu z projektu OWASP SAMM (Software Assurance Maturity Model) do češtiny. Tentokrát se jedná o excelovskou tabulku, která slouží jako nástroj pro hodnocení zralosti zabezpečení softwaru v rámci modelu OWASP SAMM. Překladem navazuji na předchozí práci, kdy jsem přeložil stručného průvodce k OWASP SAMM (ten si můžete prohlédnout zde: Stručný průvodce OWASP SAMM – tentokrát česky).
- Česky: SAMM_Hodnotici_rozhovor_tabulka_cesky_v_2_0_(15_08_2024).xlsx se vzorovými otázkami.
- Původní anglické verze:
- Anglicky: SAMM_spreadsheet_v_2_0.xlsx,
- Anglicky – bez vzorových otázek (šablona): SAMM_spreadsheet.xlsx (v_2_0)
- Další původní zdroje: https://owaspsamm.org/
O co se jedná?
Jedná se o excelovský nástroj, který obsahuje několik karet:
- Autorství a licence: Základní informace o původu a licencování dokumentu.
- Rozhovor: Tato karta obsahuje otázky určené pro hodnotící rozhovor v rámci SAMM.
- Skóre: Po vyplnění rozhovoru jsou zde automaticky generovány výsledky.
- Roadmapa: Plán kroků ke zlepšení na základě dosaženého skóre.
- Schéma roadmapy: Grafické znázornění navržené roadmapy.
- Skryté karty: Tyto karty obsahují data, která se promítají do ostatních částí tabulky.
Co je Hodnotící rozhovor OWASP SAMM?
Hodnotící rozhovor OWASP SAMM je klíčový nástroj, který organizacím umožňuje zjistit, na jaké úrovni zralosti se nachází jejich zabezpečení (především vytvářeného) softwaru. Pomocí předdefinovaných otázek a strukturovaného přístupu lze identifikovat silné a slabé stránky v procesech zabezpečení a na základě toho navrhnout roadmapu ke zlepšení. Otázky jsou doplněny doporučujícími popisy a srozumitelnými odpověďmi, což usnadňuje jejich použití v různých kontextech a umožňuje lépe porozumět hodnoceným oblastem. To může být zvláště užitečné pro organizace, které se teprve snaží v problematice zorientovat a hledají vhodný výchozí bod pro systematické zlepšování své bezpečnostní praxe.
Kromě interního hodnocení nabízí hodnotící rozhovor SAMM i další možnosti využití:
- Hodnocení dodavatelů softwaru: Organizace mohou použít hodnotící rozhovor pro ověření, jak jsou na tom dodavatelé softwaru z hlediska zabezpečení. Tímto způsobem mohou snadno identifikovat, zda dodavatel splňuje požadavky na bezpečný vývoj a zda je spolehlivým partnerem v rámci dodavatelského řetězce.
- Srovnání mezi projekty či organizacemi: Hodnotící rozhovor lze využít k porovnání různých projektů nebo celých organizací. Díky standardizovaným otázkám je možné získat přehled o tom, které projekty nebo týmy mají lepší úroveň zralosti v oblasti zabezpečení a které potřebují více podpory nebo školení.
- Zahrnutí požadavků na bezpečný vývoj do výběrových řízení: Hodnotící rozhovor může být užitečným nástrojem při přípravě výběrových řízení. Organizace mohou zahrnout požadavky na bezpečnost softwarového vývoje jako součást kritérií hodnocení nabídek, což zajišťuje, že dodavatelé splňují nezbytné standardy.
- Atd.
Tyto rozšířené možnosti ukazují, že Hodnotící rozhovor SAMM je velmi flexibilní nástroj, který může organizacím pomoci nejen při interním zlepšování procesů, ale také při řízení vztahů s dodavateli a zajištění celkové bezpečnosti softwarových produktů v širším měřítku.
Vhodné používání hodnotícího rozhovoru
I když jsou v tomto nástroji zahrnuty vzorové otázky, doporučuji je přizpůsobit specifikům vaší organizace. Otázky, které poskytuje OWASP SAMM, jsou určeny jako vodítko a vzor pro hodnocení zralosti procesů v oblasti softwarové bezpečnosti. Jsou vytvořeny tak, aby pokryly klíčové oblasti a témata podle zvolených domén SAMM, a proto mohou být dobrým výchozím bodem pro hodnocení zralosti organizace. Nicméně, existuje několik důležitých faktorů, které byste měli zvážit:
- Přizpůsobení kontextu vaší organizace: Každá organizace má jedinečné procesy, cíle a kontext. Proto je často vhodné otázky přizpůsobit tak, aby odpovídaly specifickým potřebám a terminologii používané ve vaší organizaci.
- Hodnotící rozhovory na míru: V některých případech mohou být otázky ve vzorovém excelu příliš obecné nebo naopak příliš specifické. Úprava otázek vám umožní soustředit se na oblasti, které jsou pro vaši organizaci kritické, nebo přizpůsobit jazyk a tón otázky tak, aby lépe odpovídaly rozhovoru, který vedete.
- Propojení s konkrétními cíli hodnocení: Pokud máte specifické cíle hodnocení, můžete přidat vlastní otázky, které pokryjí oblasti, které nejsou plně pokryty v originální šabloně SAMM.
- Doplnění otázek o konkrétní scénáře: Pro hlubší pochopení můžete otázky doplnit o konkrétní scénáře nebo příklady z prostředí vaší organizace. To může pomoci lépe prověřit, jak jsou teoretické procesy aplikovány v praxi.
- Atd.
Případné úpravy a zpětná vazba
Pokud budete mít k překladu připomínky nebo návrhy na zlepšení, neváhejte mi je poslat na e-mail.