文︱朵啦
圖︱新思科技
2021年全球及中國安全數字化轉型發展正面臨新機遇與挑戰,萬物物聯時代,構建安全優質的軟體比以往任何時候都更具挑戰性。要想透過協調一致的方式灌輸、測量、管理和改善軟體安全活動,就需要執行軟體安全計劃 (SSI),還必須確保 SSI 與軟體的動態開發環境保持同步,其中包括開發方法、DevOps 文化、部署環境、監管要求、供應鏈、軟體釋出週期等等。要做到這一點,需要了解 SSI 的現狀,以及用於建立改進策略和確定 SSI 更改優先順序的資料。目前,針對軟體安全性問題的解決方案有很多。大體分為兩大類,一種是以微軟SDL為代表的“指導性”模型。一種是新思科技BSIMM(軟體安全構建成熟度模型)“描述性”模型。
BSIMM作為一種描述性模型,如一把尺對觀察到的活動進行評估,為企業的軟體安全計劃提供基線。從2008年第一版開始,BSIMM的版本迭代就一直由新思科技 (Synopsys) 和 BSIMM 社群雙方協力完成,BSIMM模型發展至今已經有了12年的歷史。新思科技在今年11月12日宣佈釋出其最新版本的軟體安全構建成熟度模型(BSIMM)——BSIMM12,新思科技軟體質量與安全部門高階安全架構師楊國樑介紹了BSIMM12的一些基本情況,分享新思科技對軟體安全活動新動態的一些評估和思考。
BSIMM12保持資料新鮮度,包容行業屬性
BSIMM專案已從2008年的9家參與企業發展到2021年的128家,包括金融服務、金融科技、獨立軟體供應商(ISV)、物聯網(IoT)、醫療健康、雲計算和科技公司,目前擁有近3,000名軟體安全團隊成員和6,000多名外圍小組(又名安全擁護者)成員。BSIMM12收集了共128家的活躍樣本資料,保持了一貫的資料新鮮度,將更新的時間節點定為42個月。楊國樑表示,42個月是一個企業的軟體安全活動經歷從尚未成熟邁向相對成熟的演變節點,如果企業在設定節點未被評估到,其資料便不再具備代表性。
新思科技表示不對評估的行業屬性設限,BSIMM12就覆蓋多個垂直行業,包括金融服務、金融科技、獨立軟體供應商(ISV)、雲、醫療保健、物聯網等。當相同行業的公司被評估的數量累積至節點,即劃為一項評估分類。從各行業劃分來看,金融類一直是一個相對比較大的分支,繼BSIMM11首次被新增進描述系統,此次BSIMM12佔比28%。而從地理位置上來看,目前多數行業在北美,佔比79%,歐盟包括英國是13%,亞太也在逐年增多,其中中國是主力。
圖:BSIMM12參與企業
圖:物聯網與金融科技行業比較
另外,新思觀察到各行業的軟體安全活動側重各有不同。例如,物聯網和金融科技行業都認為執行安全功能審查活動很重要,但物聯網公司對高風險應用程式執行設計審查的頻率卻遠遠高於金融科技公司,而金融科技公司使用風險評估方法對應用程式進行排序的活動頻率則遠遠高於物聯網公司。因此,楊國樑表示,企業並不需要將整個BSIMM12模型裡面所有的活動都兼顧到,只需擇選行業認為最有價值的活動。
BSIMM12報告幫助安全計劃跟上變化的步伐
在過去的幾年中,現代軟體的構建和部署方式有了巨大改變,開源元件盛行,並且利用開源漏洞進行的攻擊頻發,因此為確保軟體安全所需的舉措自然也在發生變化。安全團隊可透過將軟體安全活動與BSIMM資料進行比較,使結果風險資料化、視覺化展現,使企業使用安全測試遙測技術來推動改進安全軟體開發生命週期流程,或策略和標準中的治理環節,從而幫助企業內部更好地驅動軟體安全的落地。此次BSIMM12軟體安全活動的新興趨勢如下:
影響廣泛的勒索軟體和軟體供應鏈中斷促使人們更加關注軟體安全。BSIMM 資料顯示,在過去兩年中,參與評估的企業中,進行“識別開原始碼”活動增加了 61%,“建立 SLA 樣板檔案”活動增加了 57%。
企業開始學習如何將風險轉化為資料。企業正更加努力地收集和釋出他們的軟體安全計劃資料。過去 24 個月“在內部發布有關軟體安全的資料”活動增加了 30%,證明了這一點。
增強的雲安全功能。管理層的日益關注,再加上工程化的驅動,使得企業開始培養自己的雲安全管理能力以及評估他們的責任共擔模型。過去兩年中,與雲安全相關的活動平均有36次新觀察結果。
持續安全軟體開發生命週期改進。在及早地、持續地進行較小規模的測試活動時,企業瞭解到安全遙測必須從生命週期的一個階段傳遞到下一個階段,就像軟體工件本身從生命週期的一個階段傳遞到下一個階段一樣。這一持續發展的趨勢反映在兩項新活動中,即BSIMM10中引入的 “自動驗證基礎運維設施安全”和BSIMM11中引入的 “實施事件驅動的自動化安全測試”。
安全團隊正在借調資源、人員和知識用於DevSecOps活動。BSIMM 資料顯示,軟體安全團隊正在從強制性的軟體安全行為朝著合作伙伴角色轉移——為 DevOps 實踐提供資源、人員和知識,目的是將安全工作納入軟體交付的關鍵路徑。
軟件物料清單活動增加了 367%。BSIMM 資料顯示專注於以下內容的能力有所增加,包括軟體物料清單的功能;建立軟體物料清單 (BOM);瞭解軟體是如何構建、配置和部署的;以及提高企業基於安全遙測重新部署的能力。資料證明許多企業已經重視對全面、最新的軟體 BOM 的需求,與這些功能相關的 BSIMM 活動(“透過運維物料清單來增強應用程式庫存檔點”)在過去兩年從3次增加到14次,增長了367%。
此外,跟隨開源、雲、容器安全活動增長顯著,企業為更好地管理風險,從“左移”轉向“無處不移”的趨勢在持續,安全軟體開發生命週期也在持續改進,以及高風險應用的架構分析和設計審查變得越來越普遍。
安全軟體計劃與其開發生命週期需深度整合
如今,大多數企業都面臨著這樣的挑戰:一方面需要加速軟體開發和推出市場;另一方面又要確保日益增多的軟體應用的安全。安全不應是在終末被疊加的輔助性功能,而應蘊於整個系統的天然特質。因此要想獲得安全的軟體,必須與軟體開發生命週期進行深度整合。
BSIMM是不斷髮展的軟體安全構建成熟度模型,它代表著全球數百個軟體安全企業,包括一些全球領先的團隊正在採取的舉措。企業透過BSIMM報告可以瞭解其它公司近乎實時的對軟體安全計劃的處理方式,從而為制定自己的軟體安全計劃策略提供直接參考,在軟體安全計劃中起到預防、檢測、糾正或補償控制措施的作用。GENETEC於2016年12月開始與BSIMM合作,在過去五年進行了兩次評估,正如其首席安全架構師Mathieu Chevalier表示,BSIMM幫助企業評估了我們的產品安全計劃,並指導我們去往何處。
BSIMM 模型及社群對企業評估自身的軟體安全實踐、判斷行業所處位置、以及明確軟體安全工作的可能的趨勢和思路,具有豐富、實際的借鑑意義。新思科技在軟體質量與安全的積累,以及其對中文軟體安全社群的倍加關注,期待BSIMM持續為更多企業的軟體安全工作,提供實質性的幫助與支援。
