4.SAMM（軟件保證成熟度模型）

軟件保證成熟度模型（Software Assuranc,e Maturity Mocle，SAMM）最初是由獨立軟件安全顧問Pravir Chandra創建，并由Fortify軟件公司資助。SAMM于2009年正式發布1.0版本，目前由OWASP組織作為一個開放的項目來維護。

SAMM提供了一個開放的框架，用以幫助軟件公司制定并實施所面臨來自軟件安全的特定風險的策略，SAMM提供的資源可用于：

◇評估一個組織已有的軟件安全實踐；

◇建立一個迭代的權衡的軟件安全保證計劃；

◇證明安全保證計劃帶來的實質性改善；

◇定義并衡量組織中與安全相關的措施。

SAMM規定了四個軟件開發過程中的核心業務功能，包括治理、構造、驗證以及部署， 這四個業務功能各包括了三個安全實踐。其中：

1)治理：專注軟件開發企業組織管理其軟件安全開發相關的過程、活動和措施，主要包括策略與指標、教育與指導、政策與遵守等三項安全實踐；

2)構造：關注與軟件安全開發中需求、目標和架構方面的過程、活動和措施，主要包括安全需求、威脅評估和安全架構三個方面的安全實踐；

3)驗證：注重軟件檢查和測試中的過程、活動和措施，主要包括設計審核、安全測試和代碼審核三項安全實踐；

4)部署：強調了軟件發布和部署配置時相關的過程、活動和措施，主要包括環境強化、漏洞管理和操作啟用三項安全實踐。