安全“左移”變?yōu)椤盁o處不移”,新思科技安全模型迎來第13個(gè)版本
自2008年發(fā)布第一版BSIMM(軟件安全構(gòu)建成熟度模型)以來,新思科技這一旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計(jì)劃(SSI)的免費(fèi)開放模型已經(jīng)迎來了第13個(gè)版本--BSIMM11。
在今天的BSIMM11媒體溝通會上,新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹稱,BSIMM反映了數(shù)百家企業(yè)的真實(shí)實(shí)踐,是一種基于科學(xué)的觀點(diǎn)的描述型模型,能夠?yàn)槠髽I(yè)的軟件安全方案提供指導(dǎo)參考,并且作為一項(xiàng)免費(fèi)及開放的標(biāo)準(zhǔn),廣泛適用于各行業(yè),可以評估任一軟件安全方案。
“2008年我們發(fā)布BSIMM第一個(gè)版本時(shí),其中只有9家公司。今天發(fā)布的BSIMM11則包含了我們觀察到的130家公司的軟件安全活動(dòng),覆蓋多個(gè)垂直行業(yè),包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售等!睏顕焊嬖V我們,BSIMM非常注重?cái)?shù)據(jù)的“新鮮度”。
他談到,從2008年開始,新思科技大概對共計(jì)211家企業(yè)展開過約500次以上的BSIMM測評,但BSIMM11版本里卻僅有130家企業(yè)。這是因?yàn)槿绻患夜境^一定時(shí)間沒有再做新的BSIMM評估,新思科技就會把這家公司從其數(shù)據(jù)池中給移出去。因?yàn)橐欢〞r(shí)間之前做的評估中的活動(dòng),可能在新的版本中已經(jīng)不具備代表性。同時(shí),新思科技也會根據(jù)市場動(dòng)態(tài)增加或刪除進(jìn)行參考和統(tǒng)計(jì)的安全活動(dòng)。
據(jù)介紹,BSIMM可以作為企業(yè)衡量軟件安全的標(biāo)尺,他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。在BSIMM報(bào)告中,會有一個(gè)反映全球不同領(lǐng)域企業(yè)(最新版本中,金融服務(wù)、獨(dú)立軟件供應(yīng)商和云領(lǐng)域的企業(yè)占比最高)在12個(gè)具體實(shí)踐維度中3個(gè)Level上平均水平的蛛網(wǎng)圖,企業(yè)可以參照這張圖對自身的安全性成熟度進(jìn)行比較評估。
BSIMM11報(bào)告發(fā)現(xiàn)的新趨勢包括:
·工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的 DevOps 價(jià)值流貢獻(xiàn)力量。BSIMM11表明,持續(xù)集成和持續(xù)交付(CI/CD)工具和運(yùn)維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作,并且正在影響SSI的組織、設(shè)計(jì)和執(zhí)行方式。例如,軟件安全團(tuán)隊(duì)越來越多地向技術(shù)小組或首席技術(shù)官匯報(bào)工作(而不是IT安全團(tuán)隊(duì)或首席信息安全官),并且正在改變內(nèi)部招募和組織人才的方式。
·軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動(dòng)化活動(dòng)替代一些摩擦性高的帶外(out-of-band)數(shù)據(jù)安全活動(dòng)。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。
·安全“左移”變?yōu)椤盁o處不移”!白笠啤备拍畹膶(shí)現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時(shí)立即執(zhí)行安全活動(dòng)。這可能意味著在過去我們認(rèn)為在左側(cè)(較早期)的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)(偏后期,包括生產(chǎn)階段)。
·在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。在仔細(xì)審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后,很明顯,有必要添加一個(gè)專門面向金融服務(wù)的ISV單獨(dú)的垂直行業(yè)。
“每家企業(yè)都需要明確的軟件安全方案來聚焦工作。敏捷、CI/CD或DevOps,既不是軟件安全的原因,也不是解決方案。我們認(rèn)為,軟件安全需要不同團(tuán)隊(duì)的共同努力,也即DevSecOps!睏顕赫f到。事實(shí)上,BSIMM11報(bào)告表明,許多企業(yè)正在調(diào)整其軟件安全計(jì)劃,以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。
據(jù)介紹,在過去的一年中,添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長(SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營基礎(chǔ)運(yùn)維安全性)。這反映了一些企業(yè)如何積極加速軟件安全工作,以適應(yīng)軟件交付的速度。此外,BSIMM11中添加的兩個(gè)活動(dòng)顯示了這一趨勢在延續(xù)(ST3.6 自動(dòng)實(shí)施事件驅(qū)動(dòng)的安全性測試,CMVM3.6 發(fā)布可部署工件的風(fēng)險(xiǎn)數(shù)據(jù))。這些新的活動(dòng)代表著向DevSecOps的轉(zhuǎn)變。
目前,云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè)。BSIMM11還強(qiáng)調(diào)了三個(gè)受到高度監(jiān)管的行業(yè)之間的差異:金融服務(wù)、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊(duì),因此,與醫(yī)療保健和保險(xiǎn)行業(yè)相比,擁有更為成熟的軟件安全實(shí)踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù),并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近,主要的差異(有利于金融科技)體現(xiàn)在培訓(xùn)、安全測試和代碼審查實(shí)踐中。
“企業(yè)軟件安全成熟度與其軟件安全小組成立的時(shí)間,在某種程度上呈現(xiàn)一種正相關(guān)關(guān)系。一般來說,越早成立軟件安全小組,或者在軟件安全小組上花越多的時(shí)間,企業(yè)的軟件安全成熟度就會越高!睏顕航忉尩馈
而當(dāng)我們問及安全由“左移”變?yōu)椤盁o處不移”對于企業(yè)來說意味著什么時(shí),楊國梁強(qiáng)調(diào),左移目前還是一個(gè)比較好的方法論,根據(jù)新思科技與中國一些客戶的交流,其實(shí)他們在整個(gè)開發(fā)過程中,能夠做的比較有效的安全活動(dòng)還不是很多。如果從投入產(chǎn)出比的角度來看,他建議企業(yè)先把左移做好,之后再進(jìn)行其他可行實(shí)踐。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動(dòng)化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市