拒絕“新瓶裝舊酒”，新思科技BSIMM11強(qiáng)調(diào)DevOps和數(shù)字化轉(zhuǎn)型下軟件安全計(jì)劃的根本轉(zhuǎn)變

在過去的一年中，添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營基礎(chǔ)運(yùn)維安全性）。

2020年全球及中國安全數(shù)字化轉(zhuǎn)型發(fā)展正面臨新機(jī)遇與挑戰(zhàn)，狄更斯的《雙城記》里開篇的第一句話：“這是一個(gè)最美好的時(shí)代，也是一個(gè)最糟糕的時(shí)代”，放到當(dāng)今的數(shù)字化時(shí)代，依然有非常深刻的警醒作用。 “最美好、最糟糕”之間往往只差了一個(gè)“安全”。萬物物聯(lián)時(shí)代，構(gòu)建安全優(yōu)質(zhì)的軟件比以往任何時(shí)候都更具挑戰(zhàn)性。

要想通過協(xié)調(diào)一致的方式灌輸、測量、管理和改善軟件安全活動(dòng)，就需要執(zhí)行軟件安全計(jì)劃 （SSI）。還必須確保 SSI 與軟件的動(dòng)態(tài)開發(fā)環(huán)境保持同步，其中包括開發(fā)方法、DevOps 文化、部署環(huán)境、監(jiān)管要求、供應(yīng)鏈、軟件發(fā)布周期等等。

要做到這一點(diǎn)，需要了解 SSI 的現(xiàn)狀，以及用于創(chuàng)建改進(jìn)策略和確定 SSI 更改優(yōu)先級(jí)的數(shù)據(jù)。目前，針對(duì)軟件安全性問題的解決方案有很多。大體分為兩大類，一種是以微軟SDL為代表的“指導(dǎo)性”模型。一種是新思科技BSIMM（軟件安全構(gòu)建成熟度模型）“描述性”模型。

作為一種描述性模型，BSIMM 唯一的目標(biāo)就是觀察和報(bào)告。

從 2008 年第一版開始，BSIMM 的版本迭代就一直由新思科技 (Synopsys) 和 BSIMM 社區(qū)雙方協(xié)力完成。其中，新思科技主要負(fù)責(zé)企業(yè)的調(diào)研、數(shù)據(jù)采集工作；BSIMM 社區(qū)則基于 BSIMM 首版形成的軟件安全框架 (SSF）和企業(yè)打分情況，對(duì) BSIMM 活動(dòng)進(jìn)行更新，并從行業(yè)視角，形成對(duì)軟件安全計(jì)劃 (SSI) 實(shí)施情況的最新洞見。

BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動(dòng)，覆蓋多個(gè)垂直行業(yè)

BSIMM模型發(fā)展至今已經(jīng)有了11年的歷史，新思科技在今年11月11日宣布發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM11。BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對(duì)超過49萬名開發(fā)人員有指導(dǎo)作用。

最新

發(fā)布

BSIMM11報(bào)告聚焦的新趨勢

BSIMM11報(bào)告發(fā)現(xiàn)的新趨勢主要包括工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的 DevOps 價(jià)值流貢獻(xiàn)力量；此外在仔細(xì)審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后，首次歸納金融科技行業(yè)的數(shù)據(jù)。具體如下：

工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的 DevOps 價(jià)值流貢獻(xiàn)力量

BSIMM模型經(jīng)過11年的發(fā)展，其數(shù)據(jù)池已從最初的9家增加到BSIMM11如今的130家公司的軟件安全活動(dòng)，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售等，對(duì)于行業(yè)情況的反應(yīng)越來越全面。

在整個(gè)BSIMM中新的活動(dòng)代表著向DevSecOps的轉(zhuǎn)變。在過去的一年中，添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營基礎(chǔ)運(yùn)維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應(yīng)軟件交付的速度。此外，BSIMM11中添加的兩個(gè)活動(dòng)顯示了這一趨勢在延續(xù)（ST3.6 自動(dòng)實(shí)施事件驅(qū)動(dòng)的安全性測試，CMVM3.6 發(fā)布可部署工件的風(fēng)險(xiǎn)數(shù)據(jù)）。

BSIMM11表明，許多企業(yè)正在調(diào)整其軟件安全計(jì)劃，以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

首次歸納金融科技行業(yè)的數(shù)據(jù)

BSIMM在仔細(xì)審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后，很明顯，有必要添加一個(gè)專門面向金融服務(wù)的ISV單獨(dú)的垂直行業(yè)，主要的差異（有利于金融科技）體現(xiàn)在培訓(xùn)、安全測試和代碼審查實(shí)踐中。

Synopsys

事實(shí)上，自2008年以來，新思科技大概對(duì)共計(jì)211家企業(yè)展開過約500次以上的BSIMM測評(píng)，但BSIMM11版本里僅顯示130家企業(yè)。對(duì)此，新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國梁表示，這是BSIMM非常注重?cái)?shù)據(jù)的“新鮮度”。新思科技會(huì)剔除一些未持續(xù)進(jìn)行評(píng)估的公司于其數(shù)據(jù)池。因?yàn)樾掳姹镜某霈F(xiàn)使過去版本的錄入數(shù)據(jù)已不具備代表性。同時(shí)，新思科技也會(huì)根據(jù)市場動(dòng)態(tài)增加或刪除進(jìn)行參考和統(tǒng)計(jì)的安全活動(dòng)。楊國梁曾在科諾康(Codenomicon)出任安全工程師,幫助客戶發(fā)現(xiàn)和修復(fù)其基于軟件的產(chǎn)品和系統(tǒng)的關(guān)鍵

在BSIMM11報(bào)告中，提出企業(yè)需要明確的軟件安全方案來聚焦工作。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動(dòng)化活動(dòng)替代一些摩擦性高的帶外（out-of-band）數(shù)據(jù)安全活動(dòng)。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

持續(xù)集成和持續(xù)交付(CI/CD)工具和運(yùn)維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作，并且正在影響SSI的組織、設(shè)計(jì)和執(zhí)行方式。例如，軟件安全團(tuán)隊(duì)越來越多地向技術(shù)小組或首席技術(shù)官匯報(bào)工作（而不是IT安全團(tuán)隊(duì)或首席信息安全官），并且正在改變內(nèi)部招募和組織人才的方式。全“左移”變?yōu)椤盁o處不移”。

“左移”概念的實(shí)現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時(shí)立即執(zhí)行安全活動(dòng)。這可能意味著在過去我們認(rèn)為在左側(cè)（較早期）的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)（偏后期，包括生產(chǎn)階段）。

結(jié)語

安全軟件計(jì)劃與其開發(fā)生命周期需深度集成

如今，大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn)：一方面需要加速軟件開發(fā)和推出市場；另一方面又要確保日益增多的軟件應(yīng)用的安全。安全不應(yīng)是在終末被疊加的輔助性功能，而應(yīng)蘊(yùn)于整個(gè)系統(tǒng)的天然特質(zhì)。因此要想獲得安全的軟件，必須與軟件開發(fā)生命周期進(jìn)行深度集成。

新思科技高級(jí)技術(shù)總監(jiān)兼BSIMM報(bào)告聯(lián)合作者M(jìn)ichael Ware曾表示：“在過去的幾年中，現(xiàn)代軟件的構(gòu)建和部署方式有了巨大改變，因此，為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴軟件，現(xiàn)代方法論加快了開發(fā)速度。因此，軟件的數(shù)量不斷在攀升，我們也仍然需要擔(dān)心先前開發(fā)的軟件是否有風(fēng)險(xiǎn)。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型，它代表著全球數(shù)百個(gè)軟件安全企業(yè)，包括一些全球領(lǐng)先的團(tuán)隊(duì)，正在采取的舉措，提供了近乎實(shí)時(shí)的行業(yè)實(shí)踐，了解如何實(shí)施新舉措以保護(hù)不斷增加的軟件產(chǎn)品組合?！?

BSIMM 模型及社區(qū)對(duì)企業(yè)評(píng)估自身的軟件安全實(shí)踐、判斷行業(yè)所處位置、以及明確軟件安全工作的可能的趨勢和思路，具有豐富、實(shí)際的借鑒意義。新思科技在軟件質(zhì)量與安全的積累，以及其對(duì)中文軟件安全社區(qū)的倍加關(guān)注，期待BSIMM持續(xù)為更多企業(yè)的軟件安全工作，提供實(shí)質(zhì)性的幫助與支持。