楠木軒

BSIMM再升級,軟件安全評估又將迎來哪些新變化?

由 閻桂榮 發佈於 科技

隨着經濟的飛速發展,科技的不斷進步,軟件因其方便、快捷、實用性強等特點,在各個領域中得到了廣泛的應用。然而,隨之而來的安全問題也日益凸顯,從軟件缺陷到漏洞,再到大規模的數據泄露,特別是現在,更多的企業將一些關鍵的業務轉移到線上,軟件安全一旦出現問題可能帶來災難性的後果或重大經濟損失,因此,有效地評估軟件的安全性十分必要。

  提到軟件安全,大部分人可能會理解成防火牆或者認證等功能,然而事實上,軟件安全的概念會更加寬泛,不僅僅是一組安全的功能集合而已。在開發過程中,一些人、一些流程等都可能變成安全薄弱的環節。

  現如今,有越來越多的公司在軟件開發過程中應用敏捷開發、CI/CD或DevOps等模式,但這些模式並不是導致不安全的原因,同時也不是解決軟件安全問題的方案。

  事實上,解決軟件安全問題的方案,是需要不同的團隊、不同的角色、不同的流程,以及不同的人羣策羣力共同來完成,即DevSecOps,只有這樣,才能最終實現安全的成品軟件。

  隨着新技術的不斷湧現,軟件安全問題也呈現出新的變化,這就需要有一個相對完整的軟件安全方案,指導企業更好地做好軟件安全的開發過程。

  在近日舉辦的新思科技媒體溝通會上,新思科技軟件質量與安全部門高級安全架構師楊國樑介紹了旨在幫助企業規劃、執行、評估和完善其軟件安全計劃(SSI)的軟件安全構建成熟度模型(BSIMM)的第11個版本BSIMM11。

新思科技軟件質量與安全部門高級安全架構師楊國樑

  BSIMM保持數據新鮮度

  從2008年開始,新思科技一共對211家企業開展了大約500次左右的BSIMM測評。此次參與BSIMM11評估的企業覆蓋多個垂直行業,包括金融服務、金融科技、獨立軟件供應商(ISV)、雲、醫療保健、物聯網、保險及零售等。

  不過,值得注意的是,此次BSIMM11反映了觀察到的130家公司的軟件安全活動。

  楊國樑對此解釋道:“由於涉及到數據新鮮度的問題,如果一個企業間隔超過36個月沒有再做一次新的BSIMM評估,那麼在新版的BSIMM報告中就會將其剔除,因為三年前的數據已經不具備代表性,可以説,BSIMM是一個活躍度非常高的模型。”

  BSIMM11模型發現四大新趨勢

  據瞭解,今年發佈的BSIMM11發現了新的趨勢,具體來説,有以下四點:

  1、從安全“左移”(shift left)到“無處不移”(shift everywhere)。“左移”概念的實現已從在軟件開發週期中較早地執行一些安全測試的字面解釋演變為在有待檢查的工件可用時立即執行安全活動。這可能意味着在過去我們認為在左側(較早期)的安全測試現在大多數情況下可能是在右側(偏後期,包括生產階段);

  2、工程技術導向的軟件安全工作成功地為實現彈性的DevOps價值流貢獻力量。BSIMM11表明,持續集成和持續交付(CI/CD)工具和運維編排已成為一些企業軟件安全方案的常規操作,並且正在影響SSI的組織、設計和執行方式;

  3、軟件定義的安全管理不再僅僅是一種願景。企業採用由CI/CD管道執行中的事件觸發的自動化活動替代一些摩擦性高的帶外(out-of-band)數據安全活動。將人員流程和決策轉換為算法是企業越來越多地解決資源約束和節奏管理問題的方法之一;

  4、在BSIMM裏引入金融科技垂直行業的數據。在仔細審查了金融行業中不斷增長的公司數據池後,很明顯,有必要添加一個專門面向金融服務的ISV單獨的垂直行業。

  BSIMM模型持續演進,以反映新的軟件安全活動

  楊國樑指出,BSIMM模型有12個實踐領域,每個實踐領域分為三個等級,每一級有具體的活動,每個版本活動數量是不固定的。如果長期觀測不到某一活動,就説明該活動已不具備代表性,就會將其從模型中剔除。但與此同時,會有新的活動加入進來,BSIMM模型在不斷演進的過程中,也在不斷反映新的軟件安全活動。

  值得一提的是,在過去的一年中,添加到BSIMM10中的SM3.4集成軟件定義生命週期管理、AM3.3 監控自動化資產創建工作,以及CMVM3.5 自動驗證運營基礎運維安全性三個活動取得了增長,這意味着一些企業正積極加速軟件安全工作,以適應軟件交付的速度。而BSIMM11中添加的ST3.6自動實施事件驅動的安全性測試和CMVM3.6發佈可部署工件的風險數據兩個活動則顯示了這一趨勢在延續。

  BSIMM將為企業帶來什麼?

  上文提到了BSIMM的諸多優勢和特點,那麼,它將幫助客户實現哪些目標呢?

  1、通過視圖展示結果,幫助企業掌握軟件安全方案的現狀;

  2、幫助企業衡量一些新的軟件安全方法;

  3、評估企業自身的軟件安全方案策略,瞭解企業自身定位是否合適,差在哪裏;

  4、建立一個衡量軟件安全方案進展的方法,BSIMM會給出提升建議等。

  5、展示軟件安全的狀態;

  6、收集具體細節,以向公司高層或董事會説明安全方案如何發揮作用。

  “更為重要的是,BSIMM模型本身是一個對於不同的公司數據真實情況的評估結果,所以它並不是一個指導性的報告,告訴你應該怎麼做;而是反映一個真實世界,指導大家如何開展安全的活動,以及整個安全活動如何開展的趨勢這樣的一個模型。”楊國樑説道。

  寫在最後:

  實際上,企業研發一套軟件並不容易,需要經歷需求接收、需求討論、任務分配、設計、開發、測試、交付、維護等諸多環節,如果用户在使用過程中出現安全問題,極有可能會導致企業好不容易建立起來的行業聲譽毀於一旦,並且還將面臨着來自用户的前所未有的信任危機。

  BSIMM提供了以數據為依據的獨特見解,為企業評估自身的軟件安全帶來了幫助。相信隨着BSIMM模型的持續迭代升級,將會為更多企業的軟件安全提供實質性的支持。