自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都會通過與直接參與企業(yè)軟件安全活動的人員進(jìn)行數(shù)百次訪談,收集不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù),并分析匯總成為報告--軟件安全構(gòu)建成熟度模型(BSIMM)。近日,新思科技發(fā)布了BSIMM11報告。
BSIMM旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動,覆蓋多個垂直行業(yè),包括金融服務(wù)、金融科技、獨立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果,這些成果對超過49萬名開發(fā)人員有指導(dǎo)作用。
BSIMM是企業(yè)衡量軟件安全的標(biāo)尺,他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。 BSIMM11表明,許多企業(yè)正在調(diào)整其軟件安全計劃,以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。
下載BSIMM11: https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。
美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員,其首席信息安全官 Mike Newborn表示:“對于有興趣學(xué)習(xí)同行經(jīng)驗,尤其是如何解決新的或正在涌現(xiàn)的挑戰(zhàn)的安全領(lǐng)導(dǎo)者而言,BSIMM提供豐富的資源。如今,大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn):一方面需要加速軟件開發(fā)和推出市場;另一方面又要確保日益增多的軟件應(yīng)用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調(diào)整其軟件安全策略,在持續(xù)創(chuàng)新或保障開發(fā)速度的同時保護(hù)自己和客戶的軟件應(yīng)用安全。”
BSIMM11報告發(fā)現(xiàn)的新趨勢包括:
- 工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實現(xiàn)彈性的 DevOps 價值流貢獻(xiàn)力量。BSIMM11表明,持續(xù)集成和持續(xù)交付(CI/CD)工具和運維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作,并且正在影響SSI的組織、設(shè)計和執(zhí)行方式。例如,軟件安全團隊越來越多地向技術(shù)小組或首席技術(shù)官匯報工作(而不是IT安全團隊或首席信息安全官),并且正在改變內(nèi)部招募和組織人才的方式。
- 軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動化活動替代一些摩擦性高的帶外(out-of-band)數(shù)據(jù)安全活動。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。
- 安全“左移”變?yōu)?ldquo;無處不移”。“左移”概念的實現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時立即執(zhí)行安全活動。這可能意味著在過去我們認(rèn)為在左側(cè)(較早期)的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)(偏后期,包括生產(chǎn)階段)。
- 在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。在仔細(xì)審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后,很明顯,有必要添加一個專門面向金融服務(wù)的ISV單獨的垂直行業(yè)。
新思科技高級技術(shù)總監(jiān)兼BSIMM報告聯(lián)合作者M(jìn)ichael Ware表示:“在過去的幾年中,現(xiàn)代軟件的構(gòu)建和部署方式有了巨大改變,因此,為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴軟件,現(xiàn)代方法論加快了開發(fā)速度。因此,軟件的數(shù)量不斷在攀升,我們也仍然需要擔(dān)心先前開發(fā)的軟件是否有風(fēng)險。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型,它代表著全球數(shù)百個軟件安全企業(yè),包括一些全球領(lǐng)先的團隊,正在采取的舉措,提供了近乎實時的行業(yè)實踐,了解如何實施新舉措以保護(hù)不斷增加的軟件產(chǎn)品組合。”
BSIMM中新的活動代表著向DevSecOps的轉(zhuǎn)變
在過去的一年中,添加到BSIMM10中的三個活動取得了驚人的增長(SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動驗證運營基礎(chǔ)運維安全性)。這反映了一些企業(yè)如何積極加速軟件安全工作,以適應(yīng)軟件交付的速度。此外,BSIMM11中添加的兩個活動顯示了這一趨勢在延續(xù)(ST3.6 自動實施事件驅(qū)動的安全性測試,CMVM3.6 發(fā)布可部署工件的風(fēng)險數(shù)據(jù))。
不同行業(yè)中BSIMM的應(yīng)用
BSIMM提供了以數(shù)據(jù)為依據(jù)的獨特見解,以了解和比較各個行業(yè)中軟件安全計劃的相對優(yōu)勢和劣勢。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異:金融服務(wù)、醫(yī)療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團隊,因此,與醫(yī)療保健和保險行業(yè)相比,擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù),并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近,主要的差異(有利于金融科技)體現(xiàn)在培訓(xùn)、安全測試和代碼審查實踐中。
下載BSIMM11 :https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。
致謝
新思科技首席科學(xué)家Sammy Migues,新思科技高級技術(shù)總監(jiān)Michael Ware以及Aedify Security創(chuàng)始人John Steven,分析了過去12年軟件安全研究收集的數(shù)據(jù),并共同編寫B(tài)SIMM11報告。部分參與評估的公司包括:Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, 以及 Zendesk.
