注重数据新鲜度 新思科技BSIMM12的新发现 原创

从2008年起，新思科技每年都会通过与直接参与软件安全评估的企业进行数百次访谈，收集不同企业的实际软件安全实践的定量数据，并分析汇总成为报告——软件安全构建成熟度模型（BSIMM）。

近日，新思科技发布了BSIMM12报告。BSIMM12反映了观察到的128家公司的软件安全实践，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商（ISV）、云、医疗保健、物联网等。BSIMM12描述了近3000名软件安全团队成员和6000多名外围小组成员的工作成果。

BSIMM模型以企业实际活动为基础，完整地考虑了整个软件安全计划的方方面面。BSIMM定期收集数据以保持数据新鲜度，并创建社区，分享每年的最新发现。

新思科技软件质量与安全部门高级安全架构师杨国梁告诉记者，BSIMM不是一套方法论或者指导性的模型，BSIMM是全球企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。

例如经过三年多对标BSIMM框架以及BSIMM评估，中兴通讯无线经营部项目安全能力得到系统性的改进，在安全培训、需求、设计、编码、测试、交付领域都得到了提升；从近两年BSIMM评估结果来看，OPPO软件开发安全体系在很多领域也得到了较明显的提升。

杨国梁说，BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划（SSI）。企业如果开展BSIMM评估，首先要拥有一个专职的安全团队。

BSIMM12的新发现

当前，企业面临多方面的安全调整，比如拥抱数字化转型及云技术、DevSecOps、大规模工作的可视性、管理供应链风险等。在BSIMM12的报告中，我们发现了一些新的趋势：

影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。 BSIMM数据显示，在过去两年中，参与评估的企业中，进行“识别开源代码”活动增加了61%，“创建SLA样板文件”活动增加了57%。

企业开始学习如何将风险转化为数据。 企业正更加努力地收集和发布他们的软件安全计划数据，这些数据被量化和可视化。过去24个月“在内部发布有关软件安全的数据”活动增加了 30%，证明了这一点。

杨国梁说，风险量化第一步是对数据进行合理有效的采集，并对这些数据进行分析，将分析的结果形成改进安全活动的指导举措。

增强的云安全功能。 在云转型的背景下，管理层的日益关注，再加上工程化的驱动，使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中，与云安全相关的活动平均有36次新观察结果。

安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM数据显示，软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为DevOps实践提供资源、人员和知识，目的是将安全工作纳入软件交付的关键路径。“为容器和虚拟化环境使用编排功能”这项活动过去两年有560%的增长，说明企业对于云化的安全越来越重视。而“采用应用容器支持安全目标”的活动也增长了214%。

杨国梁表示，企业越来越多在云端部署软件，软件迭代的速度越来越快，但与此同时安全问题并没有被解决，再叠加一些安全法规的要求等，DevOps已经是一个不可避免的趋势。

软件物料清单活动增加了 367%。 BSIMM数据显示专注于以下内容的能力有所增加，包括软件物料清单的功能；创建软件物料清单（BOM）； 了解软件是如何构建、配置和部署的； 以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件BOM的需求，与这些功能相关的BSIMM活动（“通过运维物料清单来增强应用程序库存盘点”）在过去两年从3次增加到14次，增长了367%。

安全“左移”变为“无处不移”。 “左移”的概念侧重于在开发过程中更早地进行安全测试。 “无处不移”将安全测试扩展到在整个软件生命周期中持续进行，包括尽早进行更小、更快、管道驱动的安全测试，这可能是在设计阶段，甚至在生产阶段。

基于这些新变化，新思科技提供完整的应用安全解决方案，此外今年新思科技收购了一家名叫Code Dx的公司，其提供统一化的平台，把安全工具发现的问题进行一个汇总排序，让安全团队处理有价值、有效的安全问题。