数字经济蓬勃发展,而软件安全是关键支撑。新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到BSIMM数据池中,且在其中执行统计分析,以突出BSIMM成员企业如何保护其软件的趋势。
近日,新思科技(Synopsys)发布软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adobe、PayPal和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。
新思科技中国区软件应用安全业务总监杨国梁告诉记者,BSIMM13强调了越来越多的BSIMM成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期(SDLC)中执行自动、持续的安全测试,并管理其完整应用组合的风险。
软件安全的重要性不言而喻,其贯穿了整个软件的生命周期,BSIMM评估了整个软件从设计到构建到发布到运营的过程。
软件安全构建成熟度模型BSIMM(Building Security In Maturity Model)通过访谈领先的企业软件安全实践,形成了数百家企业的真实的数据。
杨国梁表示,BSIMM是一个数据累积起来的纯粹观测性、描述性的模型,广泛适用于各行业。同时BSIMM是一个免费开放的标准,为企业的软件安全方案提供指导参考,所有人都可以免费获得每年最新的BSIMM报告。
除了发布其年度报告外,BSIMM还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。
BSIMM13的趋势洞察
BSIMM13中共有130家企业贡献了本次评估的数据池,因为BSIMM模型强调数据新鲜度,从本年度的报告数据池中移除超过36个月没有进行评估的公司的评估结果,这样可以确保在每一年发布的报告中,都是最近三年软件安全活动的实时数据的统计。
杨国梁说,BSIMM里面还有一个很重要的概念,称作软件安全小组(Software Security Group,简称SSG),这样一个小组推进企业内信息安全的建设、软件安全的构建。“软件安全不是部分人的事情,它是一个全体人员的事情。这可能会牵扯到软件构建人员、测试人员、运维人员、软件管理员、高层、中层、数据隐私专家,这些都需要相应的流程拉通他们。”
BSIMM13访问了3,342名SSG成员,还有8,500多名安全拥护者。所谓的安全拥护者,他们本身并不是SSG的成员,他们分布在开发团队、架构团队、测试团队等等其他的生产的团队中,但他们和SSG的成员紧密合作,共同确保整个企业的软件安全的水平。
BSIMM13由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:
通过自动化和持续测试实现安全“无处不移”。BSIMM13数据报告称,82%的BSIMM成员企业现在使用自动代码审查工具(在BSIMM13中排名前10最受关注的活动)。这增强了他们执行更快、增量安全测试和识别漏洞的能力,因为这些工具贯穿在SDLC中。
将安全集成到开发人员工具链中。在过去12个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展,这是实施安全“无处不移”的策略的一部分。BSIMM13数据指出,使企业能够将安全测试纳入QA(质量保证) 自动化的活动增加了48%。
杨国梁表示,DevSecOps、云原生的模式越来越多,现在开发团队,尤其是以敏捷开发导向的开发团队把安全活动以最小力度、最小侵入性的形式嵌入到开发过程中。
管理软件供应链风险及SBOM(软件物料清单)兴起。可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13报告显示,在过去12个月中,与控制开源风险相关的活动增加了51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了30% 。
将软件安全扩展到产品和应用之外。BSIMM13数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为CI/CD创建的自动化)。过去12个月,利用运营数据进行持续改进的活动增长了95%。
无论开展什么样的安全活动或者安全计划、安全策略,都需要相应的数据支撑。如何采集这些数据、如何设计采集这些数据的标准,又是现阶段很多企业都在探讨和尝试的一个过程。
展望未来,ASOC(应用程序安全编排和关联,Application security orchestration and correlation)从各种应用程序安全(AppSec)来源(如SAST、DAST和IAST工具)收集数据,并将这些数据整合到单个数据库中,安全团队利用最终结果,能够以明智、高效的方式简化其AppSec活动。
“我们希望企业能够善用BSIMM的发现,提升自身的软件安全计划。企业需要制定相应的战略计划,借助BSIMM计分卡进行比照,评估自身的软件安全情况。”杨国梁最后说。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面