BSIMM再升级，软件安全评估又将迎来哪些新变化？

作者：Yu 来源：原创 2020-11-19

随着经济的飞速发展，科技的不断进步，软件因其方便、快捷、实用性强等特点，在各个领域中得到了广泛的应用。然而，随之而来的安全问题也日益凸显，从软件缺陷到漏洞，再到大规模的数据泄露，特别是现在，更多的企业将一些关键的业务转移到线上，软件安全一旦出现问题可能带来灾难性的后果或重大经济损失，因此，有效地评估软件的安全性十分必要。

提到软件安全，大部分人可能会理解成防火墙或者认证等功能，然而事实上，软件安全的概念会更加宽泛，不仅仅是一组安全的功能集合而已。在开发过程中，一些人、一些流程等都可能变成安全薄弱的环节。

现如今，有越来越多的公司在软件开发过程中应用敏捷开发、CI/CD或DevOps等模式，但这些模式并不是导致不安全的原因，同时也不是解决软件安全问题的方案。

事实上，解决软件安全问题的方案，是需要不同的团队、不同的角色、不同的流程，以及不同的人群策群力共同来完成，即DevSecOps，只有这样，才能最终实现安全的成品软件。

随着新技术的不断涌现，软件安全问题也呈现出新的变化，这就需要有一个相对完整的软件安全方案，指导企业更好地做好软件安全的开发过程。

在近日举办的新思科技媒体沟通会上，新思科技软件质量与安全部门高级安全架构师杨国梁介绍了旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)的软件安全构建成熟度模型(BSIMM)的第11个版本BSIMM11。

新思科技软件质量与安全部门高级安全架构师杨国梁

BSIMM保持数据新鲜度

从2008年开始，新思科技一共对211家企业开展了大约500次左右的BSIMM测评。此次参与BSIMM11评估的企业覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。

不过，值得注意的是，此次BSIMM11反映了观察到的130家公司的软件安全活动。

杨国梁对此解释道：“由于涉及到数据新鲜度的问题，如果一个企业间隔超过36个月没有再做一次新的BSIMM评估，那么在新版的BSIMM报告中就会将其剔除，因为三年前的数据已经不具备代表性，可以说，BSIMM是一个活跃度非常高的模型。”

BSIMM11模型发现四大新趋势

据了解，今年发布的BSIMM11发现了新的趋势，主要有以下四点：

1、从安全“左移”(shift left)到“无处不移”(shift everywhere)。“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧(较早期)的安全测试现在大多数情况下可能是在右侧(偏后期，包括生产阶段);

2、工程技术导向的软件安全工作成功地为实现弹性的DevOps价值流贡献力量。BSIMM11表明，持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式;

3、软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外(out-of-band)数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一;

4、在BSIMM里引入金融科技垂直行业的数据。在仔细审查了金融行业中不断增长的公司数据池后，很明显，有必要添加一个专门面向金融服务的ISV单独的垂直行业。

BSIMM模型持续演进，以反映新的软件安全活动

杨国梁指出，BSIMM模型有12个实践领域，每个实践领域分为三个等级，每一级有具体的活动，每个版本活动数量是不固定的。如果长期观测不到某一活动，就说明该活动已不具备代表性，就会将其从模型中剔除。但与此同时，会有新的活动加入进来，BSIMM模型在不断演进的过程中，也在不断反映新的软件安全活动。

值得一提的是，在过去的一年中，添加到BSIMM10中的SM3.4集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作，以及CMVM3.5 自动验证运营基础运维安全性三个活动取得了增长，这意味着一些企业正积极加速软件安全工作，以适应软件交付的速度。而BSIMM11中添加的ST3.6自动实施事件驱动的安全性测试和CMVM3.6发布可部署工件的风险数据两个活动则显示了这一趋势在延续。