响应现代软件开发趋势 新思科技发布BSIMM11揭示软件安全计划的最新洞察 原创

相信关注软件安全的人，对 BSIMM（软件安全构建成熟度模型）都不会陌生，该模型旨在帮助企业规划、执行、评估和完善其软件安全计划（SSI）。BSIMM是不断发展的软件安全构建成熟度模型，提供了以数据为依据的独特见解，它代表着全球数百个软件安全企业，包括一些全球领先的团队，正在采取的举措，提供了近乎实时的行业实践，了解如何实施新举措以保护不断增加的软件产品组合。从2008年第一版开始，BSIMM持续进行版本迭代。

近日，新思科技（Synopsys）宣布发布BSIMM11。BSIMM11反应了观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商（ISV）、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8457名软件安全专家的工作成果，这些成果对超过49万名开发人员有指导作用。

BSIMM评估是一个访谈式的过程，采访的安全计划的负责人往往职位不同，包括CMO、高级总监、总监或者最常见的CSO、CISO等。而且软件安全计划随着时间的推移变得更加成熟，当企业的SSG（Software Security Group，软件安全小组）成立的时间越长，代表企业很可能在开展更多的软件安全或者软件构建安全工作， BSIMM评估应用安全成熟度分为三个阶段——新兴、优化、成熟。

新思科技软件质量与安全部门高级安全架构师杨国梁告诉记者，BSIMM是一个对于不同的公司数据真实情况的评估结果，所以它并不是一个指导性地告诉你应该怎么做，而是反映一个真实世界，大家怎么开展安全的活动，以及整个安全活动如何开展的一个趋势模型。

综合来看，BSIMM可以帮助企业掌握SSI的现状，提供可视化的结果视图展示；衡量新的软件安全方法；评估企业自身的软件安全方案策略；建立一个衡量软件安全方案进展的方法；向客户、合作伙伴和监管机构展示软件安全状态；收集具体细节，以向公司高层或董事会说明安全方案如何发挥作用。

不证自明的软件安全事实

在过去的几年中，现代软件的构建和部署方式有了巨大改变，因此，为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件，现代方法论加快了开发速度。因此，软件的数量不断在攀升，软件开发风险日益受到重视。

对于软件安全而言，企业要有一个明确的方案来指导这个工作，这样才能比较聚焦地做好这件事情。而且软件安全不只是一组安全的功能集合而已，可能在你的整个的开发过程中，一些人一些流程等等各种各样的方面，可能都会变成你安全薄弱的环节。

随着现在越来越多的公司采用敏捷、CI/CD或DevOps这些方法论，它们本身并不是导致不安全的原因，同时也不是解决软件安全问题的方案。“我们认为解决软件安全问题需要不同的团队、不同的角色、不同的流程、不同的人群策群力，大家一起做好，所谓DevSecOps。这样才能确保软件安全构建，实现安全的成品的软件。”杨国梁说。

同时，新的技术比如容器与微服务、供应链的安全、开源的安全、监管和合规的要求等一切都在变化，然后新的漏洞和攻击方式也在不断出现，企业只有一个相对比较完整的软件安全方案才能指导你更好地构建安全产品，或者说指导你做好软件安全的开发过程。 而这正是BSIMM所以要做的事情，BSIMM是企业衡量软件安全的标尺，企业可以将自己的软件安全计划与BSIMM社区的数据进行比较。

BSIMM11都有哪些新发现？

BSIMM评估包含12项实践与4大领域，涵盖软件开发过程里面涉及到的方方面面，比如培训情况、合规能力、测试的能力、架构分析、安全工程设计，甚至包括渗透测试、攻击模型、代码审查等。从2008年以来，新思科技总共对211家企业开展了大概500次左右的BSIMM的测评，而BSIMM11反映了130家企业中的观察到的软件的活动。

杨国梁还特别指出，BSIMM11的企业数为什么不是211家所有的企业，因为BSIMM有一个概念叫数据的新鲜度。如果一个企业间隔超过36个月没有再做一次新的BSIMM评估，那在今年度的BSIMM报告里面就会把它剔除掉。因为三年前的数据已经不具备代表性，所以说BSIMM能够代表当下的最新情况。

BSIMM11表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例，报告发现的新趋势包括：

中央监管式的管理导向和工程技术导向是企业两种软件管理文化流派，中央监管式是强调规范、合规、检查点、集中测试等，而工程技术导向更关注软件安全度、价值流测试、自动化为先等。其实两种流派有着共同的目标，那就是弹性、质量、安全。工程技术导向的软件安全工作正在成功地为实现弹性的DevOps价值流贡献力量。

BSIMM11表明，持续集成和持续交付（CI/CD）工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。

软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

安全“左移”变为“无处不移”。“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧（较早期）的安全测试现在大多数情况下可能是在右侧（偏后期，包括生产阶段）。现在软件开发部署模型的每个阶段都有了更多安全活动的开展。

云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异：金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队，因此，与医疗保健和保险行业相比，拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据，并发现它与金融服务的追踪非常接近，主要的差异（有利于金融科技）体现在培训、安全测试和代码审查实践中。

软件的自动化趋势越来越明显，在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长（SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性）。这反映了一些企业如何积极加速软件安全工作，以适应软件交付的速度。此外，BSIMM11中添加的两个活动显示了这一趋势在延续（ST3.6自动实施事件驱动的安全性测试，CMVM3.6发布可部署工件的风险数据）。

杨国梁表示，在过去三年的BSIMM的模型中，我们观察到了8个新的活动，而这8个新的活动其实都跟我们说的DevSecOps有关，所以DevSecOps也是一个明显的增长趋势。BSIMM模型在不断的演进过程中，也在不断反映新的软件安全活动。