自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都會(huì )通過(guò)與直接參與企業(yè)軟件安全活動(dòng)的人員進(jìn)行數百次訪(fǎng)談,收集不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數據,并分析匯總成為報告--軟件安全構建成熟度模型(BSIMM)。近日,新思科技發(fā)布了BSIMM11報告。
BSIMM旨在幫助企業(yè)規劃、執行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應了觀(guān)察到的130家公司的軟件安全活動(dòng),覆蓋多個(gè)垂直行業(yè),包括金融服務(wù)、金融科技、獨立軟件供應商(ISV)、云、醫療保健、物聯(lián)網(wǎng)、保險及零售等。BSIMM11描述了8,457名軟件安全專(zhuān)家的工作成果,這些成果對超過(guò)49萬(wàn)名開(kāi)發(fā)人員有指導作用。
BSIMM是企業(yè)衡量軟件安全的標尺,他們可以將自己的軟件安全計劃與BSIMM社區的數據進(jìn)行比較。 BSIMM11表明,許多企業(yè)正在調整其軟件安全計劃,以支持數字化轉型和DevOps等現代軟件開(kāi)發(fā)范例。
下載BSIMM11: https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。
美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區的一員,其首席信息安全官 Mike Newborn表示:“對于有興趣學(xué)習同行經(jīng)驗,尤其是如何解決新的或正在涌現的挑戰的安全領(lǐng)導者而言,BSIMM提供豐富的資源。如今,大多數企業(yè)都面臨著(zhù)這樣的挑戰:一方面需要加速軟件開(kāi)發(fā)和推出市場(chǎng);另一方面又要確保日益增多的軟件應用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調整其軟件安全策略,在持續創(chuàng )新或保障開(kāi)發(fā)速度的同時(shí)保護自己和客戶(hù)的軟件應用安全。”
BSIMM11報告發(fā)現的新趨勢包括:
- 工程技術(shù)導向的軟件安全工作正在成功地為實(shí)現彈性的 DevOps 價(jià)值流貢獻力量。BSIMM11表明,持續集成和持續交付(CI/CD)工具和運維編排已成為一些企業(yè)軟件安全方案的常規操作,并且正在影響SSI的組織、設計和執行方式。例如,軟件安全團隊越來(lái)越多地向技術(shù)小組或首席技術(shù)官匯報工作(而不是IT安全團隊或首席信息安全官),并且正在改變內部招募和組織人才的方式。
- 軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執行中的事件觸發(fā)的自動(dòng)化活動(dòng)替代一些摩擦性高的帶外(out-of-band)數據安全活動(dòng)。將人員流程和決策轉換為算法是企業(yè)越來(lái)越多地解決資源約束和節奏管理問(wèn)題的方法之一。
- 安全“左移”變?yōu)?ldquo;無(wú)處不移”。“左移”概念的實(shí)現已從在軟件開(kāi)發(fā)周期中較早地執行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時(shí)立即執行安全活動(dòng)。這可能意味著(zhù)在過(guò)去我們認為在左側(較早期)的安全測試現在大多數情況下可能是在右側(偏后期,包括生產(chǎn)階段)。
- 在BSIMM里引入金融科技垂直行業(yè)的數據。在仔細審查了金融行業(yè)中不斷增長(cháng)的公司數據池后,很明顯,有必要添加一個(gè)專(zhuān)門(mén)面向金融服務(wù)的ISV單獨的垂直行業(yè)。
新思科技高級技術(shù)總監兼BSIMM報告聯(lián)合作者M(jìn)ichael Ware表示:“在過(guò)去的幾年中,現代軟件的構建和部署方式有了巨大改變,因此,為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴(lài)軟件,現代方法論加快了開(kāi)發(fā)速度。因此,軟件的數量不斷在攀升,我們也仍然需要擔心先前開(kāi)發(fā)的軟件是否有風(fēng)險。BSIMM是不斷發(fā)展的軟件安全構建成熟度模型,它代表著(zhù)全球數百個(gè)軟件安全企業(yè),包括一些全球領(lǐng)先的團隊,正在采取的舉措,提供了近乎實(shí)時(shí)的行業(yè)實(shí)踐,了解如何實(shí)施新舉措以保護不斷增加的軟件產(chǎn)品組合。”
BSIMM中新的活動(dòng)代表著(zhù)向DevSecOps的轉變
在過(guò)去的一年中,添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長(cháng)(SM3.4 集成軟件定義生命周期管理、AM3.3 監控自動(dòng)化資產(chǎn)創(chuàng )建工作和CMVM3.5 自動(dòng)驗證運營(yíng)基礎運維安全性)。這反映了一些企業(yè)如何積極加速軟件安全工作,以適應軟件交付的速度。此外,BSIMM11中添加的兩個(gè)活動(dòng)顯示了這一趨勢在延續(ST3.6 自動(dòng)實(shí)施事件驅動(dòng)的安全性測試,CMVM3.6 發(fā)布可部署工件的風(fēng)險數據)。
不同行業(yè)中BSIMM的應用
BSIMM提供了以數據為依據的獨特見(jiàn)解,以了解和比較各個(gè)行業(yè)中軟件安全計劃的相對優(yōu)勢和劣勢。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數據池中最成熟的三個(gè)垂直行業(yè)。BSIMM11還強調了三個(gè)受到高度監管的行業(yè)之間的差異:金融服務(wù)、醫療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團隊,因此,與醫療保健和保險行業(yè)相比,擁有更為成熟的軟件安全實(shí)踐。BSIMM首次歸納金融科技行業(yè)的數據,并發(fā)現它與金融服務(wù)的追蹤非常接近,主要的差異(有利于金融科技)體現在培訓、安全測試和代碼審查實(shí)踐中。
下載BSIMM11 :https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。
致謝
新思科技首席科學(xué)家Sammy Migues,新思科技高級技術(shù)總監Michael Ware以及Aedify Security創(chuàng )始人John Steven,分析了過(guò)去12年軟件安全研究收集的數據,并共同編寫(xiě)BSIMM11報告。部分參與評估的公司包括:Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, 以及 Zendesk.
