【51CTO.com原创稿件】2019年10月23日,新思科技(Synopsys)发布最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM10,该模型旨在帮助企业规划、执行、完善和评估其软件安全计划(SSIs)。在媒体沟通会现场,新思科技软件质量与安全部门高级安全架构师杨国梁接受了记者的采访,分享了BSIMM10研发和应用过程中的诸多故事。
“任何软件安全计划要想真正发挥作用,都必须确定需要关注的适当活动以及应当由谁负责执行这些活动,这是软件安全计划的重要环节。新思科技软件安全构建成熟度模型(BSIMM)是对现实世界中软件安全计划开展多年研究的结果,是衡量软件是否安全的标尺。”杨国梁介绍道,在过去的十年里,新思科技采用BSIMM对185家公司进行了约450次评估,第十个版本反映出观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。
据他透露,BSIMM10描述了7,900名软件安全专家的工作成果,这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业,包括金融服务、高科技、独立软件供应商(ISVs)、云、医疗保健、物联网、保险及零售业。
“在中国,BSIMM10将会提供通用版的服务,不仅通过观察122家企业的软件安全活动,得出所有企业的平均蛛网图,从而帮助企业规划、执行、完善和评估其软件安全计划。同时由于每个行业特色不同,BSIMM10对以上垂直行业也进行了一些分析。在不同行业的版本中,所得到蜘蛛图可用于比较来自特定垂直行业的一组公司,行业不同,得分不同,蛛网图也不同。。例如金融行业,由于政策监管非常严格,所以在合规性这个标准方面起点就会比较高,那在这个方面可能金融行业得分就相对高一些。” 杨国梁表示,对于之前已经使用BSIMM前版本的用户,如果客户有需求,新思科技也会提供更为详尽的服务,帮助用户加速数字化转型的步伐。
记者了解到,BSIMM10报告中有三点发现更值得关注:
一是DevOps对软件安全的影响。BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出,新的活动反映了公司如何积极致力使安全活动自动化,来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例,以反映这些活动如何作为现代DevOps组织实施的一部分。
二是工程导向的安全文化的新浪潮。BSIMM10正式反映了SSI文化发生变化的研究,工程主导的软件安全工作是由开发和运营团队自下而上驱动的,而不像在集中式软件安全小组自上而下。在一些组织中,工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现,是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。
三是建议公司采用BSIMM来为其软件安全旅程导航。BSIMM10定义了SSI成熟度三个阶段(兴起、发展和优化)的版本,并且描述了不同公司通常如何通过它们发展。BSIMM数据显示,随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注活动的深度、广度和规模,而不是总想着增加活动数量。
众所周知,领导一个有效的软件安全计划是富有挑战性的,而DevOps和CI/CD带来的巨大技术和组织变革并没有使这项任务变得更加容易。作为不断发展以反映全球数百个软件安全小组的经验的工具,无论企业是刚刚开始软件安全旅程,寻求优化程序或者应对新的挑战,BSIMM以及社区都是宝贵的资源。
如果您对此内容感兴趣,欢迎复制以下链接,下载BSIMM10报告:
www.bsimm.com/zh-cn/download.html
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】