最近�,新思維技術(shù)發(fā)表了最新版本的軟件安全構(gòu)筑成熟度模型(BSIMM)BSIMM11。BSIMM11的重要發(fā)現(xiàn)之一是安全向左移動無處不在���。盡管在開發(fā)過程中開展一些安全測試推動了左移動的發(fā)展���,但我們的目標(biāo)遠遠不止于此。試圖維護正確軟件列表數(shù)據(jù)的企業(yè)發(fā)現(xiàn)����,需要在源代碼內(nèi)容管理、構(gòu)建過程�、部署過程和運輸環(huán)境之間協(xié)調(diào)工作�����。原因是列表的詳細程度和內(nèi)容可能因視角而異����,并且經(jīng)常發(fā)生變化���。這些企業(yè)不僅要努力維護現(xiàn)有庫存工作的有效性,還要適應(yīng)工程技術(shù)自助服務(wù)的趨勢和數(shù)字轉(zhuǎn)型發(fā)生的變化�����,適應(yīng)新的軟件生命周期�、軟件結(jié)構(gòu)的變化,適應(yīng)工程技術(shù)自助服務(wù)的趨勢和數(shù)字轉(zhuǎn)型帶來的巨大變化����。
BSIMM旨在幫助企業(yè)計劃、執(zhí)行���、評價和完善軟件安全計劃���。BSIMM11反應(yīng)了觀察到的130家軟件安全活動,涵蓋了金融服務(wù)�、金融技術(shù)、獨立軟件供應(yīng)商(ISV)����、云、醫(yī)療�����、物聯(lián)網(wǎng)、保險�、零售等多個垂直行業(yè)。BSIMM11描述了8457名軟件安全專家的工作成果�����,這些成果對49萬多名開發(fā)人員有指導(dǎo)作用���。
BSIMM是企業(yè)衡量軟件安全的標(biāo)尺����,他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進行比較���。BSIMM11表明�����,很多企業(yè)為了支持數(shù)字轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)的例子����,調(diào)整了軟件安全計劃�����。
美國海軍聯(lián)邦信用合作社是BSIMM社區(qū)的一員�,首席信息安全官Mike關(guān)于學(xué)習(xí)同行經(jīng)驗,特別是如何解決新的或出現(xiàn)的挑戰(zhàn)的安全領(lǐng)導(dǎo)人����,BSIMM提供了豐富的資源。如今��,大多數(shù)企業(yè)面臨著這樣一個挑戰(zhàn):一方面���,他們需要加快軟件開發(fā)和推出市場��。另一方面����,他們需要確保越來越多的軟件應(yīng)用安全���。BSIMM11反映了多少企業(yè)在調(diào)整軟件安全戰(zhàn)略��,在不斷創(chuàng)新或保障開發(fā)速度的同時保護自己和客戶的軟件應(yīng)用安全��。
BSIMM11報告中發(fā)現(xiàn)的新趨勢包括
●工程技術(shù)導(dǎo)向的軟件安全工作為實現(xiàn)彈性的DevOps的價值流做出了貢獻����。BSIMM11表明,持續(xù)整合和持續(xù)交付(CI/CD)工具和運輸維護排列已經(jīng)成為企業(yè)軟件安全方案的常規(guī)操作���,影響SSI的組織����、設(shè)計和執(zhí)行方式�。例如,軟件安全團隊向技術(shù)團隊和最高技術(shù)人員報告工作(不是IT安全團隊和最高信息安全人員)�,而是改變內(nèi)部招聘和組織人才的方式。
●軟件定義的安全管理不僅僅是愿景�����。企業(yè)采用CI/CD管道執(zhí)行中發(fā)生事件的自動化活動���,取代摩擦性高的帶外數(shù)據(jù)安全活動���。將人員流程和決策轉(zhuǎn)化為算法是企業(yè)解決資源約束和節(jié)奏管理問題的方法之一。
●安全向左移動無處不在��。左移動概念的實現(xiàn),從軟件開發(fā)周期中提前實施安全測試的字面說明���,在需要檢查的工件可用時立即實施安全活動。這可能意味著過去我們認為左側(cè)(較早)的安全測試現(xiàn)在大多在右側(cè)(偏后期����,包括生產(chǎn)階段)。
●在BSIMM中引入金融科學(xué)技術(shù)垂直行業(yè)的數(shù)據(jù)��。經(jīng)過對金融行業(yè)不斷增長的公司數(shù)據(jù)池的仔細審核��,很明顯���,需要加入專門針對金融服務(wù)的ISV多帶帶垂直行業(yè)�����。
新思科技高級技術(shù)負責(zé)人兼BSIMM報告聯(lián)合作者MichaelWare表示�����,近年來��,現(xiàn)代軟件的構(gòu)建和配置方式發(fā)生了很大變化��,為了確保軟件安全所需的措施當(dāng)然也發(fā)生了變化�。企業(yè)業(yè)務(wù)依賴軟件,現(xiàn)代方法論加快了開發(fā)速度���。因此��,軟件的數(shù)量在增加����,我們也需要擔(dān)心以前開發(fā)的軟件是否有風(fēng)險���。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型��,代表著世界上數(shù)百家軟件安全企業(yè)�����,包括世界領(lǐng)先的團隊��,采取的措施�,提供了近乎實時的行業(yè)實踐��,了解如何實施新的措施�,保護增加的軟件產(chǎn)品組合��。
BSIMM中的新活動代表著DevSecOps的變化
過去一年�����,BSIMMM10中添加的3項活動取得了驚人的成長(SM3.4集成軟件定義了生命周期管理���、AM3.3這反映了一些企業(yè)如何積極加快軟件安全工作����,以適應(yīng)軟件交付的速度。另外�����,BSIMM11追加的兩項活動顯示了這一趨勢繼續(xù)(ST3.6自動實施事件驅(qū)動的安全性測試����,CMVM3.6發(fā)表了可以部署工件的風(fēng)險數(shù)據(jù))。
不同行業(yè)BSIMM的應(yīng)用
BSIMM提供了基于數(shù)據(jù)的獨特見解�����,以了解和比較各行業(yè)軟件安全計劃的相對優(yōu)缺點��。云、物聯(lián)網(wǎng)和高新技術(shù)公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)���。BSIMM11強調(diào)了三個受到高度監(jiān)督的行業(yè)的不同:金融服務(wù)�、醫(yī)療保健和保險���。金融服務(wù)行業(yè)比其他行業(yè)建立軟件安全隊伍更早���,因此與醫(yī)療保健和保險行業(yè)相比,軟件安全實踐更成熟����。BSIMM首次總結(jié)了金融科學(xué)技術(shù)行業(yè)的數(shù)據(jù),發(fā)現(xiàn)與金融服務(wù)的跟蹤非常接近����,主要差異(有利于金融科學(xué)技術(shù))出現(xiàn)在訓(xùn)練、安全測試和代碼審查實踐中����。
https://www.bsimm.com/zh-cn/download.htmlcmp=pr-sigamp;utm_medium=referral
