GSS資安電子報0049期【有效管理 • 軟體安全保證計劃：Fortify軟體安全成熟度模組(SSA Governance Module) 下】

四、Fortify SSA管理模組活動

這章節會描述Fortify SSA管理模組可以完成什麼工作與如何執行。

第一階段：登記專案

• 選擇一個開發團隊去負責該專案與執行。
• 為每個專案建立清單與風險屬性
  • 安全團隊在SSA管理模組中記錄與建立應用程式
  • 開發團隊或安全團隊填寫關於該系統的問卷。有四種不種的資訊：一般資訊、相依關係、商業屬性、技術屬性。

步驟一：登記專案

安全團隊或開發團隊提供專案的名稱與版本，並說明是全新或是延續專案。

步驟二：設定相依關係

專案間常有相依關係。透過這些關係可以更精確的追蹤軟體組合。

步驟三：增加商業屬性

商業等級屬性設定，如儲存資料的類型、以及需遵循的法規。

步驟四：增加技術屬性

技術屬性可以直接指明的。這包括項目如：專案是內部開發/外包、是否使用元件/函式庫、是什麼語言開發的、目標作業系統等。

查閱完整的風險排名應用程式清單

有了完整程式清單，安全團隊可以從各種角度查閱應用系統的屬性。此圖為資料的種類分佈的擷取畫面。使用者可以點擊任一長條圖並向下觀看專案在這個類別的詳細清單。

第二階段：活動分派

基於之前所提供的資訊，SSA管理模組建議10種SDL樣版(每種包含一系列的安全活動)。

• 舉例來說，建議樣版為「新開發專案具有高風險」

• 每個樣版分別有10~40種活動，所有的項目都可客製化或刪除。SSA管理模組會顯示接下來的活動及其狀況。

第三階段：管理與追蹤

應用程式被註冊、列舉詳細清單與指派一組活動。接下來進行一系列的管理活動。

• 開發團隊與稽核人員上傳文件，如abuse case文件、威脅模型文件、Fortify SCA掃描結果、滲透測試結果、應用系統防災牆等。
• 管理者接受或拒絕的文件與追蹤流程。

管理者可產生報告與檢視所有活動的流程。以下的報告顯示三個專案的部份活動流程。

結論

SSA管理模組的範圍包含了安全團隊在管理方面的挑戰。為了讓安全團隊確保多個部署中的應用系統，往往需要從多個不同的來源取得資訊以產生報告

應用系統的詳細清單與風險等級，制定政策與實行如安全開發生命周期(SDL)是為了控制情況而不可缺少的第一步，但沒有自動化的流程，這些政策可能只會有名義上的減少風險。此外，許多企業由於缺乏時間與專業，檯面下花了很多力氣為了能完成他們的流程。

Fortify 360 SSA 模組提供了一套強大的功能來處理這些問題。藉由提供集管理；有效且自動化的流程來定義安全活動，透過此集中系統進行溝通與追蹤這些活動，並提供視覺化的控制SSA 流程。此外開箱即可使用的樣版提供有效的解決方案讓企業快速的建立自己內部流程。最終讓企業大幅減少風險，以及降低整體安全成本。

若要了解更多關於SSA 管理模組與Fortify，可以查閱www.fortify.com