新思科技：軟件安全之旅需要借助“他山之石”

隨著全球數(shù)字化轉(zhuǎn)型的不斷深入，軟件安全也迎來(lái)了高速發(fā)展期。只有建立可信、健全的軟件安全保障體系，才能筑牢數(shù)字經(jīng)濟(jì)的網(wǎng)絡(luò)安全屏障。

中國(guó)正在把發(fā)展經(jīng)濟(jì)的著力點(diǎn)放在實(shí)體經(jīng)濟(jì)上，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)。同時(shí)，數(shù)字經(jīng)濟(jì)與各種產(chǎn)業(yè)疊加，賦予數(shù)字化力量，可以提升實(shí)體經(jīng)濟(jì)的產(chǎn)業(yè)優(yōu)勢(shì)，促進(jìn)產(chǎn)業(yè)邁向高質(zhì)量。對(duì)此，新思科技強(qiáng)調(diào)，數(shù)字賦能，安全先行。把安全貫穿在數(shù)字經(jīng)濟(jì)發(fā)展的全過(guò)程，才能行穩(wěn)致遠(yuǎn)。軟件安全不會(huì)一蹴而就，而是一個(gè)旅程，需要借鑒“他山之石”，取長(zhǎng)補(bǔ)短。

當(dāng)然，他人的經(jīng)驗(yàn)并非都有普適性。雖然出發(fā)點(diǎn)是好的，但是如果采納了不適合自身的軟件安全建議，或者盲目跟隨某家企業(yè)的軟件安全計(jì)劃，可能會(huì)導(dǎo)致?lián)p失。一旦不法分子發(fā)現(xiàn)其中的缺陷和漏洞，就可以竊取知識(shí)產(chǎn)權(quán)、員工和客戶的個(gè)人信息、清空公司銀行賬戶、破壞建筑的安保，甚至通過(guò)勒索軟件來(lái)破壞企業(yè)運(yùn)營(yíng)。

在如今數(shù)字化轉(zhuǎn)型的大環(huán)境中，每個(gè)企業(yè)在本質(zhì)上都是一家軟件公司。因此軟件風(fēng)險(xiǎn)很大程度上等同于業(yè)務(wù)風(fēng)險(xiǎn)。在競(jìng)爭(zhēng)激烈且充滿不確定性的市場(chǎng)環(huán)境中，企業(yè)應(yīng)該對(duì)軟件安全建議謹(jǐn)慎求證，才能確定是否應(yīng)該采取后續(xù)行動(dòng)。

如果從一兩家公司的軟件安全計(jì)劃中找不到合適的參照，那100多家呢?基于大量的真實(shí)數(shù)據(jù)，描述哪些方案是有效的，哪些是失敗的，更重要的是行業(yè)在發(fā)生什么變化，已經(jīng)采取了哪些安全舉措以更高效地響應(yīng)這些變化，進(jìn)而構(gòu)建可信軟件。

這也是自2008年開始，全球有數(shù)百家企業(yè)參加軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估的原因。這其中也不乏中國(guó)企業(yè)，比如OPPO、聯(lián)想和浪潮參加了新思科技最新的BSIMM13評(píng)估。

BSIMM是免費(fèi)及開放的標(biāo)準(zhǔn)，廣泛適用于各行業(yè)。BSIMM 軟件安全框架(SSF)包含四個(gè)領(lǐng)域 — 治理、 情報(bào)、 SSDL 觸點(diǎn)和部署，涵蓋250項(xiàng)軟件安全計(jì)劃，觀察企業(yè)如何將安全性構(gòu)建到軟件開發(fā)中，以應(yīng)對(duì)不斷變化的數(shù)字威脅環(huán)境。通過(guò)這種數(shù)據(jù)驅(qū)動(dòng)的視角，BSIMM可全面評(píng)估企業(yè)軟件安全小組的成熟度，并創(chuàng)建用于衡量其計(jì)劃成熟度的軟件安全計(jì)分卡。

除了評(píng)估和計(jì)分卡，BSIMM還為多樣化的成員社區(qū)搭建交流橋梁，大家可以互動(dòng)、學(xué)習(xí)行業(yè)最佳實(shí)踐、獲得對(duì)不斷變化的商業(yè)環(huán)境的新見解，并參加線下活動(dòng)，以促進(jìn)更緊密的聯(lián)系和合作。

無(wú)論您是正在制定軟件安全計(jì)劃，還是已經(jīng)開始維護(hù)成熟的計(jì)劃，根據(jù)BSIMM13數(shù)據(jù)，都應(yīng)該考慮實(shí)施以下措施：

· 自動(dòng)化軟件安全工具到位。無(wú)論是用于靜態(tài)或動(dòng)態(tài)測(cè)試還是軟件組成分析，這些工具都可以識(shí)別并幫助修復(fù)關(guān)鍵軟件中的缺陷、漏洞和惡意代碼，無(wú)論是內(nèi)部開發(fā)的軟件、商業(yè)第三方軟件還是開源軟件。

· 基于數(shù)據(jù)驅(qū)動(dòng)安全決策。使用安全測(cè)試工具收集數(shù)據(jù)、合并數(shù)據(jù)，然后使用這些數(shù)據(jù)制定和實(shí)施軟件安全策略。收集有關(guān)執(zhí)行了哪些測(cè)試以及發(fā)現(xiàn)了哪些問(wèn)題的數(shù)據(jù)，以推動(dòng)同時(shí)改進(jìn)軟件開發(fā)生命周期(SDLC)和治理流程。

· 向自動(dòng)化安全測(cè)試和決策轉(zhuǎn)變。從人力資源密集的人工方式轉(zhuǎn)變?yōu)楦恢?、更高效、可重?fù)性更強(qiáng)的自動(dòng)化方法。

· 在SDLC中向規(guī)模更小的自動(dòng)檢測(cè)轉(zhuǎn)變。在檢查軟件時(shí)，盡一切可能通過(guò)規(guī)模更小、速度更快、管道驅(qū)動(dòng)的測(cè)試替代滲透測(cè)試或人工代碼審查等手動(dòng)活動(dòng)。

· 盡早創(chuàng)建全面的軟件物料清單(SBOM)。SBOM中應(yīng)包括企業(yè)的資產(chǎn)清單以及開源和第三方代碼清單。

BSIMM13觀察到的其中一個(gè)趨勢(shì)是軟件供應(yīng)鏈風(fēng)險(xiǎn)管理興起。就在幾年前，這還是安全社區(qū)的邊緣話題?，F(xiàn)在，可能由于近期比較頻繁的供應(yīng)鏈攻擊事件影響，管理軟件供應(yīng)鏈風(fēng)險(xiǎn)(最常見的是通過(guò)識(shí)別和保護(hù)開源軟件來(lái)執(zhí)行)成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報(bào)告顯示，與控制開源風(fēng)險(xiǎn)相關(guān)的活動(dòng)增加了 51%，通過(guò)構(gòu)建和維護(hù)SBOM以對(duì)其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。

在BSIMM13中，最引人注目的數(shù)字或許是0。數(shù)據(jù)表明，在130家參與評(píng)估的企業(yè)中，沒(méi)有一家的軟件安全小組具有完全相同的架構(gòu)。沒(méi)有一個(gè)所謂“最好”的途徑可以構(gòu)建出成熟的軟件安全應(yīng)用。但我們有著共同的目標(biāo)：構(gòu)建可信的軟件。

BSIMM并不規(guī)定企業(yè)需要采取何種路徑。而是幫助企業(yè)能夠根據(jù)其自身的風(fēng)險(xiǎn)概況和優(yōu)先級(jí)制定合適的計(jì)劃，以提升軟件安全成熟度。