加强软件供应链安全 新思科技发布第13版软件安全构建成熟度模型（BSIMM）报告 原创

数字经济蓬勃发展，而软件安全是关键支撑。新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型，观察和量化软件安全人员执行的活动，以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM数据来源于在评估期间与成员企业进行的深度访谈。在评估之后，观察数据被匿名化并添加到BSIMM数据池中，且在其中执行统计分析，以突出BSIMM成员企业如何保护其软件的趋势。

近日，新思科技（Synopsys）发布软件安全构建成熟度模型（BSIMM）的第13版——BSIMM13。该报告分析了Adobe、PayPal和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果，他们构建和维护了超过145,000个应用程序。

新思科技中国区软件应用安全业务总监杨国梁告诉记者，BSIMM13强调了越来越多的BSIMM成员企业正在实施安全“无处不移”的策略，以在整个软件开发生命周期（SDLC）中执行自动、持续的安全测试，并管理其完整应用组合的风险。

软件安全的重要性不言而喻，其贯穿了整个软件的生命周期，BSIMM评估了整个软件从设计到构建到发布到运营的过程。

软件安全构建成熟度模型BSIMM（Building Security In Maturity Model）通过访谈领先的企业软件安全实践，形成了数百家企业的真实的数据。

杨国梁表示，BSIMM是一个数据累积起来的纯粹观测性、描述性的模型，广泛适用于各行业。同时BSIMM是一个免费开放的标准，为企业的软件安全方案提供指导参考，所有人都可以免费获得每年最新的BSIMM报告。

除了发布其年度报告外，BSIMM还为成员企业搭建社区平台，通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等，与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。

BSIMM13的趋势洞察

BSIMM13中共有130家企业贡献了本次评估的数据池，因为BSIMM模型强调数据新鲜度，从本年度的报告数据池中移除超过36个月没有进行评估的公司的评估结果，这样可以确保在每一年发布的报告中，都是最近三年软件安全活动的实时数据的统计。

杨国梁说，BSIMM里面还有一个很重要的概念，称作软件安全小组（Software Security Group，简称SSG），这样一个小组推进企业内信息安全的建设、软件安全的构建。“软件安全不是部分人的事情，它是一个全体人员的事情。这可能会牵扯到软件构建人员、测试人员、运维人员、软件管理员、高层、中层、数据隐私专家，这些都需要相应的流程拉通他们。”

BSIMM13访问了3,342名SSG成员，还有8,500多名安全拥护者。所谓的安全拥护者，他们本身并不是SSG的成员，他们分布在开发团队、架构团队、测试团队等等其他的生产的团队中，但他们和SSG的成员紧密合作，共同确保整个企业的软件安全的水平。

BSIMM13由新思科技软件质量与安全部门进行汇总分析，重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势，包括：

通过自动化和持续测试实现安全“无处不移”。BSIMM13数据报告称，82%的BSIMM成员企业现在使用自动代码审查工具（在BSIMM13中排名前10最受关注的活动）。这增强了他们执行更快、增量安全测试和识别漏洞的能力，因为这些工具贯穿在SDLC中。

将安全集成到开发人员工具链中。在过去12个月中，BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展，这是实施安全“无处不移”的策略的一部分。BSIMM13数据指出，使企业能够将安全测试纳入QA（质量保证） 自动化的活动增加了48%。

杨国梁表示，DevSecOps、云原生的模式越来越多，现在开发团队，尤其是以敏捷开发导向的开发团队把安全活动以最小力度、最小侵入性的形式嵌入到开发过程中。

管理软件供应链风险及SBOM（软件物料清单）兴起。可能由于近期比较频繁的供应链攻击事件影响，管理软件供应链风险（最常见的是通过识别和保护开源软件来执行）成为BSIMM成员企业的首要任务。BSIMM13报告显示，在过去12个月中，与控制开源风险相关的活动增加了51%，通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了30% 。

将软件安全扩展到产品和应用之外。BSIMM13数据还显示安全团队正在与运营合作开展更多的活动，以保护不是应用程序的软件（例如为CI/CD创建的自动化）。过去12个月，利用运营数据进行持续改进的活动增长了95%。

无论开展什么样的安全活动或者安全计划、安全策略，都需要相应的数据支撑。如何采集这些数据、如何设计采集这些数据的标准，又是现阶段很多企业都在探讨和尝试的一个过程。

展望未来，ASOC（应用程序安全编排和关联，Application security orchestration and correlation）从各种应用程序安全（AppSec）来源（如SAST、DAST和IAST工具）收集数据，并将这些数据整合到单个数据库中，安全团队利用最终结果，能够以明智、高效的方式简化其AppSec活动。

“我们希望企业能够善用BSIMM的发现，提升自身的软件安全计划。企业需要制定相应的战略计划，借助BSIMM计分卡进行比照，评估自身的软件安全情况。”杨国梁最后说。