新思科技發(fā)布軟件安全構(gòu)建成熟度模型BSIMM10
任何軟件安全計(jì)劃要想真正發(fā)揮作用,都必須確定需要關(guān)注的適當(dāng)活動(dòng)以及應(yīng)當(dāng)由誰負(fù)責(zé)執(zhí)行這些活動(dòng),這是軟件安全計(jì)劃的重要環(huán)節(jié)。新思科技軟件安全構(gòu)建成熟度模型(BSIMM)是對(duì)現(xiàn)實(shí)世界中軟件安全計(jì)劃開展多年研究的結(jié)果,是衡量軟件是否安全的標(biāo)尺。
新思科技宣布發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM10。該模型旨在幫助企業(yè)規(guī)劃、執(zhí)行、完善和評(píng)估其軟件安全計(jì)劃(SSIs)。在過去的十年里,新思科技采用BSIMM對(duì)185家公司進(jìn)行了約450次評(píng)估,第十個(gè)版本反應(yīng)了觀察到的122家公司的軟件安全活動(dòng)。BSIMM10還強(qiáng)調(diào)了DevOps對(duì)軟件安全計(jì)劃的影響、工程導(dǎo)向的安全工作的新浪潮以及公司如何在軟件安全成熟度的三個(gè)階段前行。
MassMutual企業(yè)信息風(fēng)險(xiǎn)管理總監(jiān)Jim Routh表示:“自2008年起,BSIMM就作為評(píng)估各種類型和規(guī)模的組織的有效工具,包括全球一些先進(jìn)的安全團(tuán)隊(duì)正采用其軟件安全策略。最新的BSIMM數(shù)據(jù)反映了有多少家組織正調(diào)整其方法來應(yīng)對(duì)現(xiàn)代開發(fā)和部署實(shí)踐的新動(dòng)態(tài),比如縮短發(fā)布周期、增加自動(dòng)化的使用和軟件定義的基礎(chǔ)架構(gòu)?!?/span>
BSIMM10描述了7,900名軟件安全專家的工作成果,這些成果對(duì)參與超過17.3萬應(yīng)用程序開發(fā)工作的47萬名開發(fā)人員有指導(dǎo)作用。BSIMM10代表的公司來自垂直行業(yè),包括金融服務(wù)、高科技、獨(dú)立軟件供應(yīng)商(ISVs),云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售業(yè)。
BSIMM10報(bào)告的主要發(fā)現(xiàn)包括:
·DevOps對(duì)軟件安全的影響:BSIMM數(shù)據(jù)顯示DevOps的發(fā)展以及持續(xù)集成和持續(xù)交付(CI/CD)工具正在影響公司實(shí)現(xiàn)軟件安全性的方式。這在BSIMM新增的三個(gè)活動(dòng)中可以看出,新的活動(dòng)反映了公司如何積極致力使安全活動(dòng)自動(dòng)化,來配合將業(yè)務(wù)功能推向市場(chǎng)的速度。BSIMM10也包括更新的描述和現(xiàn)有活動(dòng)的示例,以反映這些活動(dòng)如何作為現(xiàn)代DevOps組織實(shí)施的一部分。
·工程導(dǎo)向的安全文化的新浪潮:BSIMM10是第一個(gè)正式反映SSI文化發(fā)生變化的研究,工程主導(dǎo)的軟件安全工作是由開發(fā)和運(yùn)營團(tuán)隊(duì)自下而上驅(qū)動(dòng)的,而不像在集中式軟件安全小組自上而下。在一些組織中,工程主導(dǎo)的安全文化克服了建立和發(fā)展有意義的軟件安全工作的困難。工程導(dǎo)向的安全文化新浪潮的出現(xiàn),是應(yīng)對(duì)諸如敏捷和DevOps之類的現(xiàn)代軟件交付實(shí)踐的需求以及現(xiàn)有SSIs不希望產(chǎn)生的摩擦。
·公司采用BSIMM來為其軟件安全旅程導(dǎo)航:BSIMM10是首個(gè)定義SSI成熟度三個(gè)階段(興起、發(fā)展和優(yōu)化)的版本,并且描述了不同公司通常如何通過它們發(fā)展。BSIMM數(shù)據(jù)顯示,隨著時(shí)間的推移,企業(yè)得到了明顯改進(jìn),許多企業(yè)均已達(dá)到了一定的成熟度,以至于他們開始關(guān)注活動(dòng)的深度、廣度和規(guī)模,而不是總想著增加活動(dòng)數(shù)量。
新思科技首席科學(xué)家Sammy Migues表示:“領(lǐng)導(dǎo)一個(gè)有效的軟件安全計(jì)劃是富有挑戰(zhàn)性的,而DevOps和CI/CD帶來的巨大技術(shù)和組織變革并沒有使這項(xiàng)任務(wù)變得更加容易。作為不斷發(fā)展以反映全球數(shù)百個(gè)軟件安全小組的經(jīng)驗(yàn)的工具,無論你是剛剛開始你的軟件安全旅程,尋求優(yōu)化程序或者應(yīng)對(duì)新的挑戰(zhàn),BSIMM以及社區(qū)都是寶貴的資源?!?/span>
BSIMM包括的數(shù)據(jù)是從真正建立SSIs的公司收集而來,量化了119項(xiàng)活動(dòng)的發(fā)生,來展示許多計(jì)劃的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數(shù)據(jù)顯示高成熟度的計(jì)劃是全面的,涵蓋該模型所描述的全部 12項(xiàng)實(shí)踐中各種各樣的活動(dòng)。組織可以采用BSIMM來比較計(jì)劃并且決定哪些額外活動(dòng)可能對(duì)支持其整體戰(zhàn)略有意義。