近日,新思科技发布了软件安全构建成熟度模型第12个版本——BSIMM12。该模型评估了128家企业,涵盖了金融、金融科技、独立软件供应商、科技、物联网、云、零售等众多行业,旨在帮助企业规划、执行、评估和完善其软件安全计划。
BSIMM12报告中发现的新趋势包括:
影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。 BSIMM 数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了 61%,“创建 SLA 样板文件”活动增加了 57%。
企业开始学习如何将风险转化为数据。 企业正更加努力地收集和发布他们的软件安全计划数据。过去 24 个月“在内部发布有关软件安全的数据”活动增加了 30%,证明了这一点。
增强的云安全功能。 管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。
安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM 数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。
软件物料清单活动增加了 367%。BSIMM 数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能; 创建软件物料清单 (BOM); 了解软件是如何构建、配置和部署的; 以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件 BOM 的需求,与这些功能相关的 BSIMM 活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。
安全“左移”变为“无处不移”。“左移”的概念侧重于在开发过程中更早地进行安全测试。“无处不移”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。
新思科技软件质量与安全部门高级安全架构师杨国梁表示,目前安全团队面临着诸多挑战,而这些挑战也正契合了BSIMM12报告中的趋势预测:
拥抱数字化转型及云技术。数字化转型过程中会涉及大量云相关的技术,如何确保其安全问题至关重要。
为工程团队及AppSec团队搭建桥梁。企业需要考虑如何利用模型帮助工程团队及AppSec团队互相理解,互相借鉴,从而把事情做得更好。
向“无处不移”转变。由于容器技术的兴起,导致一些安全活动只能在容器部署时才开始监控,势必导致安全“左移”,如果只能在容器部署阶段监控,那么也要适度的向右移,向部署阶段、监控阶段进行安全活动。此外,由于公司各个环节都有相应的安全工作,因此“无处不移”将成为未来趋势。
DevSecOps。越来越多的企业开始采用DevSecOps高生产力兼顾安全的模型,而在DevSecOps的过程中如何确保效率以及安全,也将是很大的挑战。
大规模工作的可视性。如何在海量代码下确保得到相应的数据,并用这些数据来驱动工作进一步有序地开展,都是亟需解决的问题。
管理供应链风险。如何管控好供应链的每个环节,避免供应链攻击的发生,一直是困扰业界的难题。
杨国梁表示,十几年来,BSIMM 咨询、研究和数据专家一直在不断地丰富BSIMM 模型,帮助企业调整安全策略,进行持续创新,以保护他们的企业和客户。
杨国梁还强调,BSIMM不是一套方法论或者指导性的模型,它是全球企业衡量软件安全的标尺,企业可以将自己的软件安全计划与BSIMM社区的数据进行比较,然后去做相应的改善。
下载>>> BSIMM12报告
