BSIMM简化软件安全管理

BSIMM10报告强调DevOps和垂直行业软件安全成熟度

作者：新思科技首席科学家Sammy Migues

BSIMM不是单一用途的软件安全计划（SSIs）基准测试工具。任何人身居软件安全管理岗位，不论是集中治理导向型抑或是趋近于产品工程导向型，都可以借助BSIMM简化管理并获得持续改进的能力。所有的公司，无论其成熟度、规模和垂直行业如何，在从头开始构建新的SSI时以及随时间的推移而逐步完善其计划的成熟度时，都应将BSIMM作为参考指南。

新思科技（Synopsys，Nasdaq：SNPS）在2019年10月发布了最新版本的软件安全构建成熟度模型（BSIMM）——BSIMM10。BSIMM不是实验室的产物，而是对上百家公司进行了几百次评估，真实地反应观察到的软件安全活动。BSIMM帮助企业规划、执行、完善和评估其SSI，经过10个版本的迭代，提供更全面、更精细的报告。

首先，我想指出BSIMM并不是操作指南，而是一种描述性模型。我们可以这样形容：假设我们去拜访邻居，并观察到“在我们参观的Y房子中，有X座有机器人真空吸尘器。”请注意，BSIMM不会做如下之类的报告：“所有的房子都必须有机器人真空吸尘器”、“机器人是唯一可以接受的真空吸尘器”或者“每天必须使用真空吸尘器”，BSIMM也不会进行任何其他价值判断。BSIMM只报告其观察到的东西，仅此而已。

相反，BSIMM只是观察并报告软件安全程序的当前状态。对企业的好处是，BSIMM并不是告诉他们用一种单一的方法去做什么，而是详细报告了其它公司已经在怎么做了。

BSIMM10反映了观察到的122家公司真实的软件安全活动。代表的公司来自垂直行业，包括云、物联网（IoT）、独立软件供应商（ISVs）、科技、医疗保健、金融服务、保险及零售业。

下图显示了所有企业与示例企业相比较的蛛网图。绘制高水位标记值可提供低分辨率的成熟度视图，适用于公司之间、业务部门之间，以及同一公司内部的比较。与攻击模型和体系结构分析相比，当前的122家公司正在投入更多的精力在策略和指标、合规性和政策以及标准和要求方面，而示例企业则似乎在攻击模型、代码审查和渗透测试领域投入更多。

蓝色为示例企业

这种观点可以代表整体成熟度，但也可以按行业纵向细分研究，以观察跨活动的实践和各个行业之间的增长差异。

例如，在金融服务等受到严格监管的行业中，面向合规性和政策的安全活动激增并不足为奇；相反，我们通常看不到ISV或IoT在这个领域有特别大的投入。 BSIMM报告得知大多数垂直行业都对基础安全活动有深刻的了解。

由于各种原因，一些垂直行业在某些领域的努力要比其它垂直行业多。某些行业中，他们的特定活动与法规、条文和合同等和法律有关的事宜挂钩。BSIMM10包括12个实践模块，而这12个实践模块中又包含119项BSIMM活动。这119项活动的优先和受重视程度也会取决于客户期望和偏好和隐私规定等。

还有另一种情况，不同的垂直行业根据对风险的不同理解来执行不同的安全活动。我们在高水位标记值可以看到这一点。而高水位图又反映了帮助其建立特定SSI的基础活动和较不常见的活动。

我们不能说医疗保健公司X比保险公司Y更成熟，因为这就像将苹果与桔子进行比较。为什么？因为每个公司都会根据自己的需求制定正确的计划。即使他们属于一个行业，一家公司进行30项活动，另一家公司进行50项活动，他们的软件产品也可能具有相同的总体成熟度。

但是我们可以说，在特定行业内的一组公司所做的事情似乎在整个行业内都具有重要意义。然后，另一个行业的另一组公司进行完全不同的活动，这对他们来说也很重要。它们不一定是同一项活动，但是每个行业之间都有趋势。

我还要指出，BSIMM10是BSIMM研究的第一个迭代，正式反映了SSI文化的变化。在新一波由工程主导的软件安全工作浪潮中可以观察到这一点，这些工作源于部署和运营团队自下而上的沟通，而不是软件安全团队自上而下的方式。

在一些企业中，以工程为主导的安全文化已成为一种建立和发展有意义的软件安全措施的方式。即使在几年前，以工程为主导的安全文化已经开始发挥这个作用。

BSIMM数据还表明，DevOps运动以及CI/CD工具和数字化转型的增长，这正在影响公司为其软件产品寻求软件安全的方式。正因为如此，BSIMM10包括三个新活动。BSIMM10新增加的三项活动清晰地描述了一条轨迹：软件定义生命周期治理、软件定义资产创建的软件辅助监控、以及软件定义基础架构的自动验证。这表明一些企业正在积极研究如何加快安全部署，以跟上新功能的交付速度。

企业开始使用DevOps实践，将软件移向云端。我们看到这是大多数公司重要变革的推动力。随着DevOps文化和CI/CD工具链与云部署相交，我们在考虑软件安全性时意识到这是一个改变行业格局的进展。

在这些技术和策略发展的早期阶段，仍有不确定因素，我们尚未完全理解其影响。BSIMM即将到来的新版本肯定会为企业从DevOps迁移到DevSecOps提供更多见解，并指点其云部署。