sponsored links

新思科技BSIMM12強調企業雲化安全深入

文︱朵啦

圖︱新思科技

2021年全球及中國安全數字化轉型發展正面臨新機遇與挑戰,萬物物聯時代,構建安全優質的軟體比以往任何時候都更具挑戰性。要想透過協調一致的方式灌輸、測量、管理和改善軟體安全活動,就需要執行軟體安全計劃 (SSI),還必須確保 SSI 與軟體的動態開發環境保持同步,其中包括開發方法、DevOps 文化、部署環境、監管要求、供應鏈、軟體釋出週期等等。要做到這一點,需要了解 SSI 的現狀,以及用於建立改進策略和確定 SSI 更改優先順序的資料。目前,針對軟體安全性問題的解決方案有很多。大體分為兩大類,一種是以微軟SDL為代表的“指導性”模型。一種是新思科技BSIMM(軟體安全構建成熟度模型)“描述性”模型。

BSIMM作為一種描述性模型,如一把尺對觀察到的活動進行評估,為企業的軟體安全計劃提供基線。從2008年第一版開始,BSIMM的版本迭代就一直由新思科技 (Synopsys) 和 BSIMM 社群雙方協力完成,BSIMM模型發展至今已經有了12年的歷史。新思科技在今年11月12日宣佈釋出其最新版本的軟體安全構建成熟度模型(BSIMM)——BSIMM12,新思科技軟體質量與安全部門高階安全架構師楊國樑介紹了BSIMM12的一些基本情況,分享新思科技對軟體安全活動新動態的一些評估和思考。

BSIMM12保持資料新鮮度,包容行業屬性

BSIMM專案已從2008年的9家參與企業發展到2021年的128家,包括金融服務、金融科技、獨立軟體供應商(ISV)、物聯網(IoT)、醫療健康、雲計算和科技公司,目前擁有近3,000名軟體安全團隊成員和6,000多名外圍小組(又名安全擁護者)成員。BSIMM12收集了共128家的活躍樣本資料,保持了一貫的資料新鮮度,將更新的時間節點定為42個月。楊國樑表示,42個月是一個企業的軟體安全活動經歷從尚未成熟邁向相對成熟的演變節點,如果企業在設定節點未被評估到,其資料便不再具備代表性。

新思科技表示不對評估的行業屬性設限,BSIMM12就覆蓋多個垂直行業,包括金融服務、金融科技、獨立軟體供應商(ISV)、雲、醫療保健、物聯網等。當相同行業的公司被評估的數量累積至節點,即劃為一項評估分類。從各行業劃分來看,金融類一直是一個相對比較大的分支,繼BSIMM11首次被新增進描述系統,此次BSIMM12佔比28%。而從地理位置上來看,目前多數行業在北美,佔比79%,歐盟包括英國是13%,亞太也在逐年增多,其中中國是主力。



圖:BSIMM12參與企業



圖:物聯網與金融科技行業比較

另外,新思觀察到各行業的軟體安全活動側重各有不同。例如,物聯網和金融科技行業都認為執行安全功能審查活動很重要,但物聯網公司對高風險應用程式執行設計審查的頻率卻遠遠高於金融科技公司,而金融科技公司使用風險評估方法對應用程式進行排序的活動頻率則遠遠高於物聯網公司。因此,楊國樑表示,企業並不需要將整個BSIMM12模型裡面所有的活動都兼顧到,只需擇選行業認為最有價值的活動。

BSIMM12報告幫助安全計劃跟上變化的步伐

在過去的幾年中,現代軟體的構建和部署方式有了巨大改變,開源元件盛行,並且利用開源漏洞進行的攻擊頻發,因此為確保軟體安全所需的舉措自然也在發生變化。安全團隊可透過將軟體安全活動與BSIMM資料進行比較,使結果風險資料化、視覺化展現,使企業使用安全測試遙測技術來推動改進安全軟體開發生命週期流程,或策略和標準中的治理環節,從而幫助企業內部更好地驅動軟體安全的落地。此次BSIMM12軟體安全活動的新興趨勢如下:

影響廣泛的勒索軟體和軟體供應鏈中斷促使人們更加關注軟體安全。BSIMM 資料顯示,在過去兩年中,參與評估的企業中,進行“識別開原始碼”活動增加了 61%,“建立 SLA 樣板檔案”活動增加了 57%。

企業開始學習如何將風險轉化為資料。企業正更加努力地收集和釋出他們的軟體安全計劃資料。過去 24 個月“在內部發布有關軟體安全的資料”活動增加了 30%,證明了這一點。

增強的雲安全功能。管理層的日益關注,再加上工程化的驅動,使得企業開始培養自己的雲安全管理能力以及評估他們的責任共擔模型。過去兩年中,與雲安全相關的活動平均有36次新觀察結果。

持續安全軟體開發生命週期改進。在及早地、持續地進行較小規模的測試活動時,企業瞭解到安全遙測必須從生命週期的一個階段傳遞到下一個階段,就像軟體工件本身從生命週期的一個階段傳遞到下一個階段一樣。這一持續發展的趨勢反映在兩項新活動中,即BSIMM10中引入的 “自動驗證基礎運維設施安全”和BSIMM11中引入的 “實施事件驅動的自動化安全測試”。

安全團隊正在借調資源、人員和知識用於DevSecOps活動。BSIMM 資料顯示,軟體安全團隊正在從強制性的軟體安全行為朝著合作伙伴角色轉移——為 DevOps 實踐提供資源、人員和知識,目的是將安全工作納入軟體交付的關鍵路徑。

件物料清單活動增加了 367%。BSIMM 資料顯示專注於以下內容的能力有所增加,包括軟體物料清單的功能;建立軟體物料清單 (BOM);瞭解軟體是如何構建、配置和部署的;以及提高企業基於安全遙測重新部署的能力。資料證明許多企業已經重視對全面、最新的軟體 BOM 的需求,與這些功能相關的 BSIMM 活動(“透過運維物料清單來增強應用程式庫存檔點”)在過去兩年從3次增加到14次,增長了367%。

此外,跟隨開源、雲、容器安全活動增長顯著,企業為更好地管理風險,從“左移”轉向“無處不移”的趨勢在持續,安全軟體開發生命週期也在持續改進,以及高風險應用的架構分析和設計審查變得越來越普遍。

安全軟體計劃與其開發生命週期需深度整合

如今,大多數企業都面臨著這樣的挑戰:一方面需要加速軟體開發和推出市場;另一方面又要確保日益增多的軟體應用的安全。安全不應是在終末被疊加的輔助性功能,而應蘊於整個系統的天然特質。因此要想獲得安全的軟體,必須與軟體開發生命週期進行深度整合。

BSIMM是不斷髮展的軟體安全構建成熟度模型,它代表著全球數百個軟體安全企業,包括一些全球領先的團隊正在採取的舉措。企業透過BSIMM報告可以瞭解其它公司近乎實時的對軟體安全計劃的處理方式,從而為制定自己的軟體安全計劃策略提供直接參考,在軟體安全計劃中起到預防、檢測、糾正或補償控制措施的作用。GENETEC於2016年12月開始與BSIMM合作,在過去五年進行了兩次評估,正如其首席安全架構師Mathieu Chevalier表示,BSIMM幫助企業評估了我們的產品安全計劃,並指導我們去往何處。

BSIMM 模型及社群對企業評估自身的軟體安全實踐、判斷行業所處位置、以及明確軟體安全工作的可能的趨勢和思路,具有豐富、實際的借鑑意義。新思科技在軟體質量與安全的積累,以及其對中文軟體安全社群的倍加關注,期待BSIMM持續為更多企業的軟體安全工作,提供實質性的幫助與支援。

新思科技BSIMM12強調企業雲化安全深入

分類: 國際
時間: 2021-11-22

相關文章

50萬農民抗議,感染人數達5億,印度喊話中方:何時開啟國門?

50萬農民抗議,感染人數達5億,印度喊話中方:何時開啟國門?
印度疫情目前仍然嚴重,較差的衛生狀況成為新冠病毒最好的溫床 近日,據多家媒體的報道稱,在9月14日中國外交部舉行的例行記者會上,印度廣播公司的記者發問,希望瞭解中方何時恢復向印度人員發放簽證.外交部發 ...

美國對多國重開國門,包括中國,但疫情仍嚴峻,日均死數千人

美國對多國重開國門,包括中國,但疫情仍嚴峻,日均死數千人
美國白宮週一宣佈,從11月初開始,美國將取消對Covid-19的旅行限制,允許來自英國和大多數歐盟國家的已接種疫苗的乘客進入美國.除了英國和歐洲的26個申根國家,放寬限制也將適用於愛爾蘭.中國.伊朗. ...

蝴蝶效應出現?虛擬貨幣全線暴跌,爆倉人數超過25.8萬人

蝴蝶效應出現?虛擬貨幣全線暴跌,爆倉人數超過25.8萬人
摘要:北京時間9月20日晚間,比特幣大幅下跌近10%,跌破43000美元,短時下跌金額達到4000美元,其他加密貨幣也下挫超過10%,主流加密幣種價格達到一週以來最低水平. 華夏時報(www.chin ...

澳大利亞多地反防疫封鎖集會,數名警察衝突中被打骨折,警方逮捕近270人

澳大利亞多地反防疫封鎖集會,數名警察衝突中被打骨折,警方逮捕近270人
綜合澳大利亞新聞網及英國路透社訊息,澳大利亞多地當地時間18日舉行未經批准的反防疫封鎖集會,抗議者與警方發生暴力衝突,多名警察在衝突中被傷至骨折.警方逮捕了近270人. 澳大利亞新聞網:在爆發反封鎖抗 ...

害怕衝突,不敢發火?用這個方法對人,會收穫更舒服友好的關係

害怕衝突,不敢發火?用這個方法對人,會收穫更舒服友好的關係
讀者提問 大叔你好!我發現我身上一個缺點,就是生氣時會本能地"僵住",不敢反抗不會回懟,等事情過去了才在大腦裡演練怎麼反擊,只能一個人生悶氣. 好多次都是這樣的,比如昨天開會討論的 ...

28天第二次!法甲又現大規模衝突,數百球迷入場群毆,兩人受傷

28天第二次!法甲又現大規模衝突,數百球迷入場群毆,兩人受傷
在朗斯主場對陣里爾一戰,因為雙方球迷在中場休息時發生衝突,比賽被迫中斷,在這次衝突中有兩人受傷.與馬賽對尼斯一戰不同,此役在中斷了30分鐘之後恢復了比賽. 在上半場,兩隊以0比0戰平.在中場休息時,數 ...

比拜仁國米還狠!阿賈克斯9-0大勝 2人造3球+全隊8人破門

比拜仁國米還狠!阿賈克斯9-0大勝 2人造3球+全隊8人破門
昨晚的5大聯賽,拜仁和國米都取得了大勝,拜仁7-0狂屠波鴻,國米也在主場6-1大勝博洛尼亞.但在荷甲賽場,阿賈克斯製造了比拜仁國米更大的慘案. 主場迎戰坎布林,阿賈克斯9-0取得大勝,內雷斯和塔迪奇各 ...

遼國70萬精兵,為什麼沒有打過完顏阿骨打的兩萬人

遼國70萬精兵,為什麼沒有打過完顏阿骨打的兩萬人
在完顏阿骨打逐漸崛起的時候,遼國已漸漸呈現出瓦解的跡象,因為整個帝國都遍佈著蠢蠢欲動的反叛力量. 在這種背景下,天祚帝便嘗試著鎮壓完顏阿骨打,並因此進行了一系列戰爭,但基本都失敗了. 遼國鎮壓完顏阿骨 ...

主場0-4!前歐冠冠軍被打爆了:20分鐘丟3球,2萬人見證隊史恥辱

主場0-4!前歐冠冠軍被打爆了:20分鐘丟3球,2萬人見證隊史恥辱
荷甲第5輪,圖恩斯特拉上半場補時首開紀錄,林森.圖恩斯特拉和德賽在下半場20分鐘內連進3球,最終埃因霍溫主場被費耶諾德4-0爆冷擊敗. 儘管最近6次在荷甲面對費耶諾德,埃因霍溫未嘗一勝.但在賽前,主場 ...

國乒多達10位世界冠軍輸球!王曼昱等3人全勝,乒乓球今天出爐2金

國乒多達10位世界冠軍輸球!王曼昱等3人全勝,乒乓球今天出爐2金
北京時間9月21日,全運會乒乓球比賽繼續進行.目前,團體決賽席位已經出爐.男團半決賽,樊振東領銜廣東男團3:2戰勝梁靖崑領銜的河北男團,驚險晉級決賽.另一場半決賽,奧運冠軍馬龍領銜北京男團3:1戰勝東 ...

敘利亞到底在打什麼?美俄為何要死死“咬住”敘利亞?

敘利亞到底在打什麼?美俄為何要死死“咬住”敘利亞?
阿拉伯人有一個諺語:"人間若有天堂,大馬士革必在其中,天堂若在天空,大馬士革必與之齊名",大馬士革便是敘利亞的首都. 只是這個曾經的人間天堂,在常年戰爭的摧殘下,已然如地獄一般. ...

大清比大明厲害很多?為何清朝能成功解決蒙古問題而明朝辦不到?

大清比大明厲害很多?為何清朝能成功解決蒙古問題而明朝辦不到?
大清比大明厲害很多?為何清朝能成功解決蒙古問題而明朝辦不到? 這個問題很有意思. 乍一看,清朝比明朝厲害,解決了明朝200多年都解決不了的遊牧民族問題.但事情並沒有這麼簡單.概括說來: 明朝和清朝對征 ...

日本,又要變天了?|地球知識局

日本,又要變天了?|地球知識局
(⊙_⊙) 每天一篇全球人文與地理 微信公眾號:地球知識局 NO.2030-日本又要變天? 作者:無夢 校稿:辜漢膺 / 編輯:鹹帶魚 據日本廣播協會NHK報道,日本首相菅義偉在9月3日舉行的自民黨臨 ...

中國共產黨一百年大事記(1921年7月—2021年6月)之一中共中央黨史和文獻研究院
1840年以後,由於西方列強的入侵,由於封建統治的腐敗,中國逐漸成為半殖民地半封建社會.實現中華民族偉大復興成為全民族最偉大的夢想:爭取民族獨立.人民解放和實現國家富強.人民幸福,成為中國人民的歷史任 ...

1962年,七大元帥齊聚廈門,朱德也想動身卻被攔下,所為何事?

1962年,七大元帥齊聚廈門,朱德也想動身卻被攔下,所為何事?
1962年,於我共和國而言,是內憂外患的一年,亦是朝鮮戰爭之後最不平靜的一年. 從內部來說,當時正值國內三年天災,糧食無收,百姓最難熬的時期. 而從外患來說,主要有中印邊境摩擦和新疆的動亂. 然而,這 ...

從阿富汗到敘利亞:戰亂中的維生資源系統如何重建

從阿富汗到敘利亞:戰亂中的維生資源系統如何重建
當地時間2021年10月9日,敘利亞西北部伊德利卜省,學校開學第一天,學生返校上課.圖/視覺中國 [財新網](記者 王自勵)在全球範圍內,武裝衝突正日益頻繁.持續地在人口稠密的城市地區上演,造成水力. ...

被殖民掠奪了200年,印度為啥對英國感恩戴德?

被殖民掠奪了200年,印度為啥對英國感恩戴德?
壞土豆 作品 撰稿 壞土豆 陪我的國一起逆襲 土豆說: 現在早就進入了殖民3.0時代了. 很多國家美國根本不願意去殖民,因為太窮了,真心看不上,如西非的一些國家,就留給法國了,包括非洲即使一些國家,家 ...

“不破樓蘭終不還”,樓蘭到底做了什麼?讓中原漢人王朝如此痛恨

“不破樓蘭終不還”,樓蘭到底做了什麼?讓中原漢人王朝如此痛恨
相信大家對"黃沙百戰穿金甲,不破樓蘭終不還."這句大唐邊塞詩人王昌齡的經典詩句耳熟能詳.詩仙李太白更是用"願將腰下劍,直為斬樓蘭"來直抒胸臆:還有曹唐的&quo ...

中國足球天價住宿費,浪費納稅人的錢?全國花錢最多的體育專案?

中國足球天價住宿費,浪費納稅人的錢?全國花錢最多的體育專案?
這幫人,成績不咋滴但是頂不住一年給足協賺好幾個億(贊助.國足.中超比賽轉播等等),2015年以前他們賺來的錢,足協要拿出一大塊上繳體育總局,支援奧運戰略.中國足協很多時候對外捱罵,對內成了" ...

安徽省的區劃調整,50個縣之一,臨泉縣為何擁有230萬人口?

安徽省的區劃調整,50個縣之一,臨泉縣為何擁有230萬人口?
在之前的文章中,作者和大家聊了建國初期一系列關於區劃調整的故事,例如安徽省與江蘇省.安徽省與江蘇省的區劃調整等等.今天,我們聊聊安徽省的臨泉縣,臨泉縣隸屬於阜陽市,屬於安徽省50個縣之一.臨泉縣擁有2 ...