|
2022年11月,新思科技新版软件安全构建成熟度模型BSIMM13如约而至,让我们一起来看看有什么新信息和新趋势呢?
迭代到了13版,BSIMM系列日益成熟和完善,并以实时数据为底座,保持数据的新鲜度,让其更有信服力。新版BSIMM13就分析了Adobe、PayPal
和联想在内的130家企业的软件安全实践,涵盖了410,000多名开发人员和由他们构建和维护的145,000个应用程序。
那么,BSIMM13昭示了什么样的软件安全新趋势?企业能从中得到什么样的启发?在日前举行的BSIMM13发布会上,新思科技中国区软件应用安全业务总监杨国梁对此进行了详尽的解读与阐述。
以鲜活的实时数据为样本量
BSIMM13中一共有130家企业贡献了本次评估的数据池,至于为什么相对以往的254家数量减少了,杨国梁给出的答案是:“BSIMM是以鲜活的实时数据为底座的活的报告,所以新版的BSIMM13移除了36个月没有新的评估结果的公司,收录了130家保持着数据新鲜度的公司。”也就是说,只有这样实时的新鲜数据才有参考价值和借鉴意义,数量不是关键,质量和新鲜度才是关键。
这130家公司中,75%来自北美,12%和13%来自亚太和欧洲、中东、非洲。涵盖金融科技、保险、科技、物联网、云计算、独立软件制造商等诸多关键行业。
BSIMM还访问了3,342名SSG成员和8,500名安全拥护者,SSG团队的平均年限是5年。“从BSIMM第一个版本至今,新思科技评估的开发者和应用数量呈现逐年上升的趋势,我们的数据池相应的也越来越大。”
全周期的“无处不移”策略
现代企业的数据安全和资产安全,直接取决于软件是否安全,软件安全已经成为企业数字化运营的根基。那么,该如何构建软件的安全?杨国梁表示,只有在软件的全生命周期,从设计、构建、发布到运营所有的环节,都贯穿安全意识和安全活动,才能确保真正安全的软件,即安全“无处不移”策略。
而这正日益成为软件安全的一个重要趋势,BSIMM13的数据报告显示,82% 的 BSIMM 成员企业现在使用自动代码审查工具。同时,越来越多的 BSIMM
成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期 (SDLC) 中执行自动、持续的安全测试,并管理其完整应用组合的风险。
“我们在讲目前的安全活动的时候,不再仅仅强调安全需要左移,而是在每一个节点上都要做相应的安全测试和安全的把关“,杨国梁表示。
将安全活动融入到开发环节
作为实施安全“无处不移”的策略的一部分,在过去 12
个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展。BSIMM13报告数据指出,使企业能够将安全测试纳入QA(质量保证)
自动化的活动增加了 48%。
也就是说,安全活动已经不仅仅限于安全部门,开发部门也已经逐渐接受了将安全活动融入到开发过程中。“安全活动可以用比较小的代价,在每一个可能进行的阶段尽早地实施安全检查”,杨国梁强调。
软件供应链风险管理兴起
软件供应链管理是近年来十分明显的趋势。由于比较频繁的供应链攻击事件影响,管理软件供应链风险成为BSIMM成员企业的首要任务。BSIMM13
报告显示,在过去 12 个月中,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。
杨国梁认为,供应链管理不是一家的事情,它涉及到上下游、涉及到开源、涉及到商业,是一个很复杂的问题,它需要许多利益相关方之间的协作。所以,“把这些全部都输出到一个软件物料清单(SBOM)里面,将会是近几年或者将来很重要的一个趋势“。
将软件安全扩展到产品之外
在进行数字化转型之前,软件安全部门必须把公司内的各个环节,包括合规部门、开发部门、测试部门的利益相关者全部串联起来,并建立相应的桥梁。这也进一步说明了软件安全变得越来越重要,要处理的活动也越来越复杂。
BSIMM13 的数据也证明了这一点,它显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为 CI/CD 创建的自动化)。过去 12
个月,利用运营数据进行持续改进的活动增长了 95%。
利用BSIMM做好安全计划
几大趋势明了之后,杨国梁强调,BSIMM的价值就在于,通过不定期的BSIMM的评估,可以给到企业一个极具价值的借鉴和参考,能够看到你在整个行业内的安全做了哪些进步,做了哪些调整。
来自联想基础设施解决方案事业部产品安全部的执行董事Bill Jaeger的表态,也印证了这一说法。他表示,在 2015 年加入 BSIMM
社区后,联想发现每年更新的报告洞察可以帮助联想规划和衡量安全计划,这对我们了解客户最重要的实践领域也具有重要价值。“我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”
2022年11月30日 于上海
版权作品 未经许可 请勿转载
| 