隨著5G����、邊緣計(jì)算����、大數(shù)據(jù)和物聯(lián)網(wǎng)的快速發(fā)展,無(wú)人駕駛�����、智能工廠全面普及�����,每個(gè)人都可以互聯(lián)����、機(jī)械連接、甚至人機(jī)連接��,在信息化快速發(fā)展的今天���,軟件應(yīng)用服務(wù)滲透到各行各業(yè)和領(lǐng)域��,軟件應(yīng)用自身的安全問(wèn)題也成為焦點(diǎn)����。
現(xiàn)在世界安全事件頻發(fā),代碼程序的脆弱性是重要的誘因之一��。程序的安全漏洞需要盡早被發(fā)現(xiàn)�,如果運(yùn)行中的系統(tǒng)被曝出漏洞,企業(yè)會(huì)付出比安全前置更高的修復(fù)代價(jià)�����。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的統(tǒng)計(jì)�,在發(fā)布后執(zhí)行代碼修復(fù),其修復(fù)成本相當(dāng)于在設(shè)計(jì)階段執(zhí)行修復(fù)的30倍�����。所以為了避免安全漏洞出現(xiàn)造成的巨大損失����,軟件安全方案的制定就成為了企業(yè)發(fā)展過(guò)程中的重中之重�����,那么如何來(lái)制定軟件安全方案來(lái)確保企業(yè)內(nèi)部的正常運(yùn)轉(zhuǎn)呢?如何確保軟件安全方案是否安全���?帶著這些問(wèn)題��,我們采訪了新思科技軟件的質(zhì)量和安全部門的高級(jí)安全架構(gòu)師楊國(guó)梁先生���,聽(tīng)了他對(duì)軟件安全的深刻解釋。
眾所周知���,安全行業(yè)在當(dāng)前的快速發(fā)展過(guò)程中�����,出現(xiàn)了需要解決的奇怪現(xiàn)狀��。例如��,業(yè)界重視攻擊���,忽視防守,防守人才極度不足�����,攻守失衡。例如�,業(yè)界重視人手,輕視自動(dòng)化����,大量安全工作低級(jí)重復(fù)性,效率非常低���。
這些安全問(wèn)題遍布各行各業(yè)�,金融����、醫(yī)療、云����、保險(xiǎn)、零售等行業(yè)�,為了解決安全問(wèn)題,很多企業(yè)也在努力��。因此����,楊國(guó)梁表示,目前所有企業(yè)都需要明確的軟件安全方案來(lái)關(guān)注工作�,敏捷、CI/CD或DevOps既不是軟件不安全的原因����,也不是解決方案,軟件安全的構(gòu)建需要不同的團(tuán)隊(duì)�����、不同的角色�、不同的流程、不同的人群
包括新技術(shù)在內(nèi)��,隨著容器amp等新的安全問(wèn)題����,微服務(wù)、供應(yīng)鏈安全�、開(kāi)源安全等問(wèn)題的出現(xiàn),監(jiān)督要求�、合規(guī)要求等一切都在變化,新的脆弱性和攻擊方式也不斷出現(xiàn)�,因此相對(duì)完整的軟件安全方案(SSI)
企業(yè)構(gòu)建的軟件安全方案����,如何評(píng)價(jià)SSI安全�?楊國(guó)梁表示,現(xiàn)在越來(lái)越多的企業(yè)重視軟件安全解決方案的評(píng)價(jià)和測(cè)試�����,自2008年以來(lái)��,新思維技術(shù)共對(duì)211家企業(yè)進(jìn)行了約500次BSIMM評(píng)價(jià)��,這次也發(fā)表了BSIMM11��,非常重視數(shù)據(jù)的新鮮度����,與前10個(gè)版本相比,BSIMMM11強(qiáng)調(diào)從安全左移到無(wú)處不在����,工程技術(shù)導(dǎo)向的軟件安全工作成功地為實(shí)現(xiàn)彈性的Devops價(jià)值流的貢獻(xiàn)力,CI/CD和Devops的廣泛使用另外����,軟件定義安全管理不僅僅是愿望�����,軟件化的自動(dòng)化越來(lái)越多,不僅僅是人員的管理��,像pipeline一樣���,現(xiàn)在軟件和測(cè)試本身都成為infrastructure基礎(chǔ)設(shè)施的構(gòu)造水平�����。
眾所周知��,新冠疫情的影響���,加速了企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程,大量線下業(yè)務(wù)轉(zhuǎn)移到線上����,對(duì)于BSIMM本身的評(píng)估方式也是有變化的,之前是現(xiàn)場(chǎng)評(píng)估��,現(xiàn)在疫情的影響導(dǎo)致整個(gè)評(píng)估的工作改為了線上。
談到做BSIMM測(cè)試的企業(yè)��,楊國(guó)梁先生表示���,目前做測(cè)試的國(guó)外的企業(yè)居多��,中國(guó)企業(yè)占比較少��,并且行業(yè)屬性比較垂直����。在這些測(cè)試行業(yè)中��,云����、物聯(lián)網(wǎng)和高新技術(shù)公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè)。BSIMM11強(qiáng)調(diào)了三個(gè)受到高度監(jiān)督的行業(yè)的不同:金融服務(wù)�、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)建立軟件安全隊(duì)伍更早��,因此與醫(yī)療保健和保險(xiǎn)行業(yè)相比����,軟件安全實(shí)踐更成熟���。BSIMM首次總結(jié)了金融科技行業(yè)的數(shù)據(jù),發(fā)現(xiàn)與金融服務(wù)的追蹤非常接近����,主要差異體現(xiàn)在訓(xùn)練、安全測(cè)試��、代碼審查實(shí)踐中�。
訪談最后����,楊國(guó)梁先生表示,在國(guó)家和各企業(yè)重視軟件安全問(wèn)題的情況下�����,BSIMM根據(jù)技術(shù)安全等問(wèn)題的出現(xiàn)不斷更新和升級(jí)�����,幫助企業(yè)掌握軟件安全方案的現(xiàn)狀��,提供視圖的可視性���,測(cè)定新的軟件安全方法�����,評(píng)價(jià)企業(yè)自身的軟件安全方案策略
