BSIMM再升级,软件安全评估又将迎来哪些新变化?

作者:Yu 来源:原创 2020-11-19

  随着经济的飞速发展,科技的不断进步,软件因其方便、快捷、实用性强等特点,在各个领域中得到了广泛的应用。然而,随之而来的安全问题也日益凸显,从软件缺陷到漏洞,再到大规模的数据泄露,特别是现在,更多的企业将一些关键的业务转移到线上,软件安全一旦出现问题可能带来灾难性的后果或重大经济损失,因此,有效地评估软件的安全性十分必要。

  提到软件安全,大部分人可能会理解成防火墙或者认证等功能,然而事实上,软件安全的概念会更加宽泛,不仅仅是一组安全的功能集合而已。在开发过程中,一些人、一些流程等都可能变成安全薄弱的环节。

  现如今,有越来越多的公司在软件开发过程中应用敏捷开发、CI/CD或DevOps等模式,但这些模式并不是导致不安全的原因,同时也不是解决软件安全问题的方案。

  事实上,解决软件安全问题的方案,是需要不同的团队、不同的角色、不同的流程,以及不同的人群策群力共同来完成,即DevSecOps,只有这样,才能最终实现安全的成品软件。

  随着新技术的不断涌现,软件安全问题也呈现出新的变化,这就需要有一个相对完整的软件安全方案,指导企业更好地做好软件安全的开发过程。

  在近日举办的新思科技媒体沟通会上,新思科技软件质量与安全部门高级安全架构师杨国梁介绍了旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)的软件安全构建成熟度模型(BSIMM)的第11个版本BSIMM11。

BSIMM再升级,软件安全评估又将迎来哪些新变化?

新思科技软件质量与安全部门高级安全架构师杨国梁

  BSIMM保持数据新鲜度

  从2008年开始,新思科技一共对211家企业开展了大约500次左右的BSIMM测评。此次参与BSIMM11评估的企业覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。

  不过,值得注意的是,此次BSIMM11反映了观察到的130家公司的软件安全活动。

  杨国梁对此解释道:“由于涉及到数据新鲜度的问题,如果一个企业间隔超过36个月没有再做一次新的BSIMM评估,那么在新版的BSIMM报告中就会将其剔除,因为三年前的数据已经不具备代表性,可以说,BSIMM是一个活跃度非常高的模型。”

BSIMM再升级,软件安全评估又将迎来哪些新变化?

  BSIMM11模型发现四大新趋势

  据了解,今年发布的BSIMM11发现了新的趋势,主要有以下四点:

  1、从安全“左移”(shift left)到“无处不移”(shift everywhere)。“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧(较早期)的安全测试现在大多数情况下可能是在右侧(偏后期,包括生产阶段);

BSIMM再升级,软件安全评估又将迎来哪些新变化?

  2、工程技术导向的软件安全工作成功地为实现弹性的DevOps价值流贡献力量。BSIMM11表明,持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作,并且正在影响SSI的组织、设计和执行方式;

BSIMM再升级,软件安全评估又将迎来哪些新变化?

  3、软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外(out-of-band)数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一;

  4、在BSIMM里引入金融科技垂直行业的数据。在仔细审查了金融行业中不断增长的公司数据池后,很明显,有必要添加一个专门面向金融服务的ISV单独的垂直行业。

  BSIMM模型持续演进,以反映新的软件安全活动

  杨国梁指出,BSIMM模型有12个实践领域,每个实践领域分为三个等级,每一级有具体的活动,每个版本活动数量是不固定的。如果长期观测不到某一活动,就说明该活动已不具备代表性,就会将其从模型中剔除。但与此同时,会有新的活动加入进来,BSIMM模型在不断演进的过程中,也在不断反映新的软件安全活动。

  值得一提的是,在过去的一年中,添加到BSIMM10中的SM3.4集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作,以及CMVM3.5 自动验证运营基础运维安全性三个活动取得了增长,这意味着一些企业正积极加速软件安全工作,以适应软件交付的速度。而BSIMM11中添加的ST3.6自动实施事件驱动的安全性测试和CMVM3.6发布可部署工件的风险数据两个活动则显示了这一趋势在延续。

BSIMM再升级,软件安全评估又将迎来哪些新变化?

  BSIMM将为企业带来什么?

  上文提到了BSIMM的诸多优势和特点,那么,它将帮助客户实现哪些目标呢?具体来说:

  1、通过视图展示结果,帮助企业掌握软件安全方案的现状;

  2、帮助企业衡量一些新的软件安全方法;

  3、评估企业自身的软件安全方案策略,了解企业自身定位是否合适,差在哪里;

  4、建立一个衡量软件安全方案进展的方法,BSIMM会给出提升建议等;

  5、展示软件安全的状态;

  6、收集具体细节,以向公司高层或董事会说明安全方案如何发挥作用。

  “更为重要的是,BSIMM模型本身是一个对于不同的公司数据真实情况的评估结果,所以它并不是一个指导性的报告,告诉你应该怎么做;而是反映一个真实世界,指导大家如何开展安全的活动,以及整个安全活动如何开展的趋势这样的一个模型。”杨国梁说道。

  写在最后:

  实际上,企业研发一套软件并不容易,需要经历需求接收、需求讨论、任务分配、设计、开发、测试、交付、维护等诸多环节,如果用户在使用过程中出现安全问题,极有可能会导致企业好不容易建立起来的行业声誉毁于一旦,并且还将面临着来自用户的前所未有的信任危机。

  BSIMM提供了以数据为依据的独特见解,为企业评估自身的软件安全带来了帮助。相信随着BSIMM模型的持续迭代升级,将会为更多企业的软件安全提供实质性的支持。

相关阅读

发布
X
第三方账号登录
  • 微博认证登录
  • QQ账号登录
  • 微信账号登录