新思科技(Synopsys, Inc.,Nasdaq: SNPS )在2019年10月發(fā)布了最新版本的軟件安全構建成熟度模型(BSIMM)--BSIMM10。BSIMM不是實(shí)驗室的產(chǎn)物,而是對上百家公司進(jìn)行了幾百次評估,真實(shí)地反應觀(guān)察到的軟件安全活動(dòng)。BSIMM幫助企業(yè)規劃、執行、完善和評估其SSI ,經(jīng)過(guò)10個(gè)版本的迭代,提供更全面、更精細的報告。
首先,我想指出BSIMM并不是操作指南,而是一種描述性模型。我們可以這樣形容:假設我們去拜訪(fǎng)鄰居,并觀(guān)察到“在我們參觀(guān)的Y房子中,有X座有機器人真空吸塵器。”請注意,BSIMM不會(huì )做如下之類(lèi)的報告:“所有的房子都必須有機器人真空吸塵器”、“機器人是唯一可以接受的真空吸塵器”或者“每天必須使用真空吸塵器”,BSIMM也不會(huì )進(jìn)行任何其他價(jià)值判斷。BSIMM只報告其觀(guān)察到的東西,僅此而已。
相反,BSIMM只是觀(guān)察并報告軟件安全程序的當前狀態(tài)。對企業(yè)的好處是,BSIMM并不是告訴他們用一種單一的方法去做什么,而是詳細報告了其它公司已經(jīng)在怎么做了。
BSIMM10反映了觀(guān)察到的122家公司真實(shí)的軟件安全活動(dòng)。代表的公司來(lái)自垂直行業(yè),包括云、物聯(lián)網(wǎng)(IoT)、獨立軟件供應商(ISVs)、科技、醫療保健、金融服務(wù)、保險及零售業(yè)。
下圖顯示了所有企業(yè)與示例企業(yè)相比較的蛛網(wǎng)圖。繪制高水位標記值可提供低分辨率的成熟度視圖,適用于公司之間、業(yè)務(wù)部門(mén)之間,以及同一公司內部的比較。與攻擊模型和體系結構分析相比,當前的122家公司正在投入更多的精力在策略和指標、合規性和政策以及標準和要求方面,而示例企業(yè)則似乎在攻擊模型、代碼審查和滲透測試領(lǐng)域投入更多。
藍色為示例企業(yè)
這種觀(guān)點(diǎn)可以代表整體成熟度,但也可以按行業(yè)縱向細分研究,以觀(guān)察跨活動(dòng)的實(shí)踐和各個(gè)行業(yè)之間的增長(cháng)差異。
例如,在金融服務(wù)等受到嚴格監管的行業(yè)中,面向合規性和政策的安全活動(dòng)激增并不足為奇;相反,我們通常看不到ISV或IoT在這個(gè)領(lǐng)域有特別大的投入。 BSIMM報告得知大多數垂直行業(yè)都對基礎安全活動(dòng)有深刻的了解。
由于各種原因,一些垂直行業(yè)在某些領(lǐng)域的努力要比其它垂直行業(yè)多。某些行業(yè)中,他們的特定活動(dòng)與法規、條文和合同等和法律有關(guān)的事宜掛鉤。BSIMM10包括12個(gè)實(shí)踐模塊,而這12個(gè)實(shí)踐模塊中又包含119項BSIMM活動(dòng)。這119項活動(dòng)的優(yōu)先和受重視程度也會(huì )取決于客戶(hù)期望和偏好和隱私規定等。
還有另一種情況,不同的垂直行業(yè)根據對風(fēng)險的不同理解來(lái)執行不同的安全活動(dòng)。我們在高水位標記值可以看到這一點(diǎn)。而高水位圖又反映了幫助其建立特定SSI的基礎活動(dòng)和較不常見(jiàn)的活動(dòng)。
我們不能說(shuō)醫療保健公司X比保險公司Y更成熟,因為這就像將蘋(píng)果與桔子進(jìn)行比較。為什么?因為每個(gè)公司都會(huì )根據自己的需求制定正確的計劃。即使他們屬于一個(gè)行業(yè),一家公司進(jìn)行30項活動(dòng),另一家公司進(jìn)行50項活動(dòng),他們的軟件產(chǎn)品也可能具有相同的總體成熟度。
但是我們可以說(shuō),在特定行業(yè)內的一組公司所做的事情似乎在整個(gè)行業(yè)內都具有重要意義。然后,另一個(gè)行業(yè)的另一組公司進(jìn)行完全不同的活動(dòng),這對他們來(lái)說(shuō)也很重要。它們不一定是同一項活動(dòng),但是每個(gè)行業(yè)之間都有趨勢。
我還要指出,BSIMM10是BSIMM研究的第一個(gè)迭代,正式反映了SSI文化的變化。在新一波由工程主導的軟件安全工作浪潮中可以觀(guān)察到這一點(diǎn),這些工作源于部署和運營(yíng)團隊自下而上的溝通,而不是軟件安全團隊自上而下的方式。
在一些企業(yè)中,以工程為主導的安全文化已成為一種建立和發(fā)展有意義的軟件安全措施的方式。即使在幾年前,以工程為主導的安全文化已經(jīng)開(kāi)始發(fā)揮這個(gè)作用。
BSIMM數據還表明,DevOps運動(dòng)以及CI / CD工具和數字化轉型的增長(cháng),這正在影響公司為其軟件產(chǎn)品尋求軟件安全的方式。正因為如此,BSIMM10包括三個(gè)新活動(dòng)。BSIMM10新增加的三項活動(dòng)清晰地描述了一條軌跡:軟件定義生命周期治理、軟件定義資產(chǎn)創(chuàng )建的軟件輔助監控、以及軟件定義基礎架構的自動(dòng)驗證。這表明一些企業(yè)正在積極研究如何加快安全部署,以跟上新功能的交付速度。
企業(yè)開(kāi)始使用DevOps實(shí)踐,將軟件移向云端。我們看到這是大多數公司重要變革的推動(dòng)力。隨著(zhù)DevOps文化和CI / CD工具鏈與云部署相交,我們在考慮軟件安全性時(shí)意識到這是一個(gè)改變行業(yè)格局的進(jìn)展。
在這些技術(shù)和策略發(fā)展的早期階段,仍有不確定因素,我們尚未完全理解其影響。BSIMM即將到來(lái)的新版本肯定會(huì )為企業(yè)從DevOps遷移到DevSecOps提供更多見(jiàn)解,并指點(diǎn)其云部署。
點(diǎn)擊以下鏈接,可免費下載BSIMM10報告:www.bsimm.com/zh-cn/download.html. https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig
原文出自:https://dzone.com/articles/bsimm10-highlights-devops-and-vertical-maturity
