新思科技發(fā)布軟件安全構建成熟度模型第12版

自2008年起，新思科技(Synopsys, Inc.，Nasdaq: SNPS)每年都會(huì )通過(guò)與直接參與企業(yè)軟件安全活動(dòng)的人員進(jìn)行數百次訪(fǎng)談，收集不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數據，并分析匯總成為報告——軟件安全構建成熟度模型(BSIMM)。近日，新思科技發(fā)布了BSIMM12報告。

BSIMM模型旨在幫助企業(yè)規劃、執行、評估和完善其軟件安全計劃(SSI)。BSIMM12反映了觀(guān)察到的128家公司的軟件安全實(shí)踐，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨立軟件供應商(ISV)、云、醫療保健、物聯(lián)網(wǎng)等。BSIMM12描述了近3,000名軟件安全團隊成員和6,000多名外圍小組成員的工作成果。BSIMM是全球企業(yè)衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區的數據進(jìn)行比較。

現代軟件中開(kāi)源組件盛行，而且利用開(kāi)源漏洞進(jìn)行的攻擊頻發(fā)。BSIMM12數據表明過(guò)去兩年軟件安全企業(yè)對開(kāi)源的識別和管理活動(dòng)增加了 61%。

與云平臺和容器技術(shù)相關(guān)的活動(dòng)的增長(cháng)表明，這些技術(shù)對企業(yè)如何使用和保護軟件產(chǎn)生了巨大影響。 例如，在過(guò)去兩年中，“對容器和虛擬化環(huán)境使用編排功能”的觀(guān)察增加了 560%。

美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區的一員，其首席信息安全官 Mick Ware表示：“過(guò)去18個(gè)月里，企業(yè)都經(jīng)歷了數字化轉型大幅加速。越來(lái)越多的企業(yè)采用軟件定義方式來(lái)部署和管理軟件環(huán)境以及云技術(shù)堆棧。鑒于這些變化的復雜性和速度之快，對于安全團隊來(lái)說(shuō)，擁有工具讓他們了解安全計劃的狀態(tài)，并為下一步的發(fā)展方向提供參考至關(guān)重要。BSIMM 是用于實(shí)現此目的的管理工具。BSIMM提供獨特的視角，可以了解企業(yè)如何改變實(shí)施軟件定義的安全功能（如策略即代碼）的策略，以與現代軟件開(kāi)發(fā)原則和實(shí)踐保持一致?！?/p>

Genetec Inc.也是BSIMM社區的一員，其首席安全架構師Mathieu Chevalier表示：“BSIMM 研究方便企業(yè)有一個(gè)基準用來(lái)評估當前的安全實(shí)踐，確定優(yōu)先事項及保持前瞻性，以應對安全領(lǐng)域的新興趨勢。BSIMM 的描述性模型可幫助企業(yè)確定如何開(kāi)始構建軟件安全計劃并使其行之有效。BSIMM12對責任共擔模型的觀(guān)察尤其應鼓勵安全領(lǐng)導者考慮他們如何發(fā)展，以應對和縮小其安全戰略中的任何潛在差距?！?/p>

蘭吉爾(Landis+Gyr)首席信息安全官Todd Wiedman表示：“BSIMM報告與行業(yè)最佳實(shí)踐步調一致。憑借BSIMM，我們可以了解不同開(kāi)發(fā)團隊觀(guān)察到的各種開(kāi)發(fā)安全活動(dòng)的成熟度。隨著(zhù)軟件開(kāi)發(fā)實(shí)踐的加速，BSIMM12 數據解釋了安全開(kāi)發(fā)計劃中發(fā)生的實(shí)際變化。 有了這些信息，企業(yè)可以調整自己的策略來(lái)保護自身和客戶(hù)，同時(shí)保持創(chuàng )新?！?Landis+Gyr是 BSIMM社區成員企業(yè)。

Finastra 產(chǎn)品和數據安全計劃總監 Vinod Raghavan表示： “我們一直在使用 BSIMM 框架來(lái)提升安全戰略，這是產(chǎn)品和數據安全計劃的一部分。它有助于我們與金融服務(wù)及跨行業(yè)的其它企業(yè)進(jìn)行基準比較，以提高安全成熟度?！?Finastra是 BSIMM社區成員企業(yè)。

BSIMM12報告發(fā)現的新趨勢包括：

●   影響廣泛的勒索軟件和軟件供應鏈中斷促使人們更加關(guān)注軟件安全。 BSIMM 數據顯示，在過(guò)去兩年中，參與評估的企業(yè)中，進(jìn)行“識別開(kāi)源代碼”活動(dòng)增加了 61%，“創(chuàng )建 SLA 樣板文件”活動(dòng)增加了 57%。

●   企業(yè)開(kāi)始學(xué)習如何將風(fēng)險轉化為數據。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計劃數據。過(guò)去 24 個(gè)月“在內部發(fā)布有關(guān)軟件安全的數據”活動(dòng)增加了 30%，證明了這一點(diǎn)。

●   增強的云安全功能。 管理層的日益關(guān)注，再加上工程化的驅動(dòng)，使得企業(yè)開(kāi)始培養自己的云安全管理能力以及評估他們的責任共擔模型。過(guò)去兩年中，與云安全相關(guān)的活動(dòng)平均有36次新觀(guān)察結果。

●   安全團隊正在借調資源、人員和知識用于DevSecOps活動(dòng)。BSIMM 數據顯示，軟件安全團隊正在從強制性的軟件安全行為朝著(zhù)合作伙伴角色轉移——為 DevOps 實(shí)踐提供資源、人員和知識，目的是將安全工作納入軟件交付的關(guān)鍵路徑。

●   軟件物料清單活動(dòng)增加了 367%。 BSIMM 數據顯示專(zhuān)注于以下內容的能力有所增加，包括軟件物料清單的功能； 創(chuàng )建軟件物料清單 (BOM)； 了解軟件是如何構建、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力。數據證明許多企業(yè)已經(jīng)重視對全面、最新的軟件 BOM 的需求，與這些功能相關(guān)的 BSIMM 活動(dòng)（“通過(guò)運維物料清單來(lái)增強應用程序庫存盤(pán)點(diǎn)”）在過(guò)去兩年從3次增加到14次，增長(cháng)了367%。

●   安全“左移”變?yōu)椤盁o(wú)處不移”。 “左移”的概念側重于在開(kāi)發(fā)過(guò)程中更早地進(jìn)行安全測試。 “無(wú)處不移”將安全測試擴展到在整個(gè)軟件生命周期中持續進(jìn)行，包括盡早進(jìn)行更小、更快、管道驅動(dòng)的安全測試，這可能是在設計階段，甚至在生產(chǎn)階段。

從維護傳統的運營(yíng)庫存轉向自動(dòng)化資產(chǎn)發(fā)現和創(chuàng )建物料清單需要添加“無(wú)處不移”活動(dòng)，例如使用容器來(lái)強制實(shí)施安全控制、編排和掃描基礎設施即代碼。 BSIMM 觀(guān)察到更多活動(dòng)，諸如“通過(guò)運維物料清單來(lái)增強應用程序庫存盤(pán)點(diǎn)”、“對容器和虛擬化環(huán)境使用編排功能”以及“監控自動(dòng)化資產(chǎn)創(chuàng )建”等活動(dòng)，都證明了上述趨勢。

新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示：“自 2008 年以來(lái)，BSIMM 咨詢(xún)、研究和數據專(zhuān)家一直在收集有關(guān)企業(yè)為應對軟件安全挑戰所采取的不同途徑的信息。參與BSIMM評估的企業(yè)軟件安全計劃的平均年限為4.4年，反映了企業(yè)如何調整以應對現代開(kāi)發(fā)和部署實(shí)踐新趨勢。有了這些信息，企業(yè)就可以調整策略來(lái)保護他們的企業(yè)和客戶(hù)，并持續創(chuàng )新?！?/p>