一年一度的新思科技BSIMM最新版本——BSIMM12终于伴随着这个暖冬一起到来了。2021年11月12日，在新思科技位于上海的新办公室，新思科技软件质量与安全部门高级安全架构师杨国梁接受了我们的采访，围绕着BSIMM12带来的新变化与新特色进行了详尽的阐述。

新思科技的新办公室

作为一个描述性的模型，BSIMM旨在为企业提供极具参考价值并且可量化的软件安全的事实标准，帮助企业在一众优秀的目标样本中，找到自己的坐标。

新思科技软件质量与安全部门高级安全架构师杨国梁

杨国梁也重点强调了这一点。他表示，BSIMM是一把标尺，通过直观的可视性的数据，可以帮助企业了解自家的软件安全到底在一个什么样的水平，和别家相比优势在哪，劣势在哪，以及面临哪些风险和不足，从而更好地驱动软件安全的落地。

那么，新一代的BSIMM12有哪些新的特征，观察到了什么样的新趋势？和前代相比，BSIMM12反映了观察到的128家公司的软件安全实践（BSIMM11为130家），保持了一贯的数据新鲜度。而从新趋势来看，开源、云和容器安全的活动增长显著。同时，勒索软件和软件供应链中断开始促使软件安全备受关注。

安全新趋势逐一解析

软件供应链安全是最为显著的趋势。诸如勒索病毒攻击的出现，也许并不是软件本身的问题，而是来源于供应链的瑕疵。而应对之策则是通过运营物料清单，增强运用库存盘点的方式。

“当把开源组件或者第三方组件引入到系统时，企业需要盘点引用了哪些组件并对它们进行实时的监控，从而及时处理新的安全漏洞“，杨国梁表示。也由此，企业已经开始注重在供应链环节就确保软件的安全性，这项活动将会增长367%。

将风险转化为数据是另一个主要趋势。 企业正更加努力地收集和发布他们的软件安全计划数据，过去 24 个月，“在内部发布有关软件安全的数据”活动增加了 30%。

过去两年中，与云安全相关的活动平均有36次新观察结果。所以，企业开始培养自己的云安全管理能力。正如杨国梁所言：“近两年，与云原生和容器技术相关的安全活动的数据在持续上升，比如说对容器和虚拟化环境使用编排功能的观察增加了560%。”另外，现代软件中开源组件盛行，利用开源漏洞进行的攻击频发。BSIMM12的数据表明，过去两年软件安全企业对开源的识别和管理活动增加了61%。

杨国梁进一步强调，安全团队正在借调资源、人员和知识为DevOps团队赋能。BSIMM数据显示，软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识，目的是将安全工作纳入软件交付的关键路径。

BSIMM12的行业属性

BSIMM12收集了共128家的活跃样本数据，之所以每一个版本都有变化，是因为需要保持数据的新鲜度。而新鲜度的时间节点为42个月，“但凡超过42个月没有做新评估的，就会把它移除出数据池。因为它的数据已经不再具备代表性了。”

行业属性一直是BSIMM的特色之一。BSIMM12就覆盖了多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。那么，行业划分的依据是什么？对此，杨国梁解释道，“判断行业形成的标准，就是在评估的过程中，是不是有足够多相同行业的公司被评估到。”

从各行业划分来看，金融类一直是一个相对比较大的分支。而从地理位置上来看，目前绝大多数行业还是在北美，占到79%，欧盟包括英国是13%，亚太也在逐年增多，包括比较多的是在中国的评估。以OPPO为例，已经做了不止一次BSIMM评估，而且是分别针对不同部门的产品线以及同一部门的时间轴进行比较，并从对比中获得收益。

另外，不同的行业也会有不同的侧重点。比如，“金融的合规流程制定比较强。而像高科技、物联网和云厂商，对于实施环境上的漏洞管理和安全测试的要求就会更高”，杨国梁表示。所以，企业可以选择适合自己的行业和角度，有侧重性地来进行对比。

新思科技安全解决方案

杨国梁接下来介绍了新思科技提供的完整的应用安全解决方案。这个解决方案共分为三层大的框架，底层“AppSec策略、计划及服务”指的是如何设计整个应用安全的策略，如何开展整个计划以及支撑整个计划的服务。

中间层的框架中，提供了可覆盖各个环节的安全测试服务和一系列顶尖的安全工具。其中，安全测试服务无论托管还是现场的情形都适用。

而顶层的框架则提供了三个实用工具。Code Sight意指把安全测试前置到编码的环节。Intelligent Orchestration是用一套智能平台来告诉客户针对不同环境的应用，应该调用什么样的安全环节和手段。

Code Dx则是新思科技2021年刚收购进来的，它的作用是面对安全工具检测出来的过多的安全问题，在各个工具里面把重叠的问题去重，然后把有效的问题按照严重程度来排序，从而大幅提高效率。此外，里面还应用了一个机器学习模型，可用来预测新报出来的问题到底是不是一个问题，更进一步地节省人工判断的时间。

评述结语

最后，杨国梁强调，安全团队面临着越来越多的挑战，信息安全时常会有新的法规出来，安全的敏捷开发愈发关键和重要。

在大规模的生产环境下，如何去监控数据，如何把安全活动进行可视化，都是安全团队亟待解决的问题，尤其是开源、云和容器安全的活动增长显著的情况下。而新思科技BSIMM12则为企业提供了一个更为先进的工具和标准，同时其完整的、智能化的应用安全解决方案也大大促进了效率的提升。

2021年11月22日 于上海

版权作品 未经许可 请勿转载