11月15日消息(岳明)新思科技软件安全构建成熟度模型(BSIMM)在近日迎来了第12个版本的发布,这一旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)的模型,并非针对安全性的指导性模型,而是通过汇总对数百家企业软件安全真实实践的观察结果,为全球企业提供了一把衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。
数据新鲜度至关重要
据悉,BSIMM12反映了观察到的128家公司的软件安全实践,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。每一个版本的BSIMM模型都会为了保持数据的“新鲜度”而进行报告内企业的删减和增加,从而准确放映最新的市场软件安全趋势。
“如果有企业超过42个月没有进行BSIMM评估,我们就会将其从我们的数据池中进行剔除。”新思科技软件质量与安全部门高级安全架构师杨国梁在BSIMM12发布媒体沟通上表示。“因为三年是一个比较大的时间跨度,足够一家企业经历一轮安全的演变,如果这么长时间没有进行BSIMM评估,那么它的数据就不再具备代表性。”
C114注意到,最新一版BSIMM报告中的重点发现之一是采用应用容器来支持安全目标的活动增加了214%,对容器和虚拟化环境使用编排功能的活动增加了560%,而由此清晰反映出企业云化趋势的加速。
BSIMM12报告最新趋势
除此外,BSIMM12报告发现的新趋势包括:
·影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。 BSIMM 数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了 61%,“创建 SLA 样板文件”活动增加了 57%。
·企业开始学习如何将风险转化为数据。 企业正更加努力地收集和发布他们的软件安全计划数据。过去 24 个月“在内部发布有关软件安全的数据”活动增加了 30%,证明了这一点。
·增强的云安全功能。 管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。
·安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM 数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。
·软件物料清单活动增加了 367%。BSIMM 数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能; 创建软件物料清单 (BOM); 了解软件是如何构建、配置和部署的; 以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件 BOM 的需求,与这些功能相关的 BSIMM 活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。
·安全“左移”变为“无处不移”。 “左移”的概念侧重于在开发过程中更早地进行安全测试。 “无处不移”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。
从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动,例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。 BSIMM 观察到更多活动,诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动,都证明了上述趋势。
适用所有行业
自2008年以来,新思科技共对231家企业开展了约550次BSIMM测试,这其中涵盖多个垂直行业。而杨国梁向我们表示,BSIMM测试并不挑行业,任何企业都能从中获得有用信息。
“不同的行业在软件安全这件事情上做的还是有区别的,比如说金融这种强监管类的行业,它的这种合规流程制定可能就比较强,像高科技物联网云厂商,它对于实施环境上的一些漏洞管理、安全测试可能要求就会更高一点。不同的行业会有一些不同的侧重点,所以并不是说一个企业要把整个模型里面所有的活动都要兼顾到,而是说在你这个行业选择适合你的活动,量力而行就好了。”他谈到。
点击下载BSIMM12报告。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。