手机网站
手机网站
作者:山米米格
BSIMM,NST的首席科学家,不是一个单一用途的软件安全程序(SSIs)基准测试工具任何拥有软件安全管理职位的人,无论是面向集中管理的还是接近面向产品工程的,都可以使用BSIMM来简化管理并获得持续改进的能力。所有公司,无论其成熟度、规模和垂直行业如何,在从头构建新的SSI并随着时间的推移逐步提高其计划的成熟度时,都应该使用BSIMM作为参考指南。
新技术(Synopsys,Inc,Nasdaq: SNPS)于2019年10月发布了软件安全构建成熟度模型(bsimm)-bsimm10的最新版本BSIMM不是实验室的产品,但已经对数百家公司进行了数百次评估,以真实反映观察到的软件安全活动。BSIMM帮助企业计划、实现、完善和评估他们的SSI,并在10次迭代后提供更全面和详细的报告。
首先,我想指出,BSIMM不是一个操作指南,而是一个描述性模型。我们可以这样描述它:假设我们拜访邻居,观察到“在我们拜访的y房子中,x有机器人吸尘器。”请注意,BSIMM不会做出“所有房屋都必须有机器人吸尘器”、“机器人是唯一可接受的吸尘器”或“吸尘器必须每天使用”等报告,BSIMM也不会做出任何其他价值判断。BSIMM只报告它所观察到的,仅此而已。相比之下,
,BSIMM只观察和报告软件安全程序的当前状态。对企业的好处是,BSIMM不告诉他们用单一方法做什么,而是详细报告其他公司已经在做什么。
BSIMM10反映了122家公司观察到的真实软件安全活动。代表公司来自垂直行业,包括云、物联网、独立软件供应商、技术、医疗保健、金融服务、保险和零售。
下图显示了与示例企业相比的所有企业的蛛网图。绘制高水位线值可以提供低分辨率的成熟度视图,适用于公司之间、业务部门之间以及同一公司内部的比较。与攻击模型和架构分析相比,122家公司目前在策略和指标、合规性和策略、标准和要求方面投入了更多的精力,而样本公司似乎在攻击模型、代码审查和渗透测试方面投入了更多的精力。观点
可以代表整体成熟度,但也可以由行业进行垂直研究,以观察交叉活动的实践和不同行业之间的增长差异。
例如,在受到严格监管的金融服务等行业,面向合规和政策的安全活动激增并不奇怪;相反,我们通常不会看到独立软件开发商或物联网公司在这一领域投入太多。BSIMM报告了解到,大多数垂直行业对基本安全活动有深刻的理解。
由于各种原因,一些垂直行业在某些领域比其他行业做得更多。在一些行业,它们的具体活动与法律、法规、合同和其他法律相关事项相关联。BSIMM10包括12个实践模块,119个BSIMM活动包含在这12个实践模块中。这119项活动的优先级和重要性还取决于客户的期望和偏好、隐私法规等。
是另一种情况,不同的垂直行业根据对风险的不同理解执行不同的安全活动。我们可以在高水位线值处看到这一点。然而,高级位图反映了基本活动和不太常见的活动,以帮助它建立特定的SSI。我们不能说医疗保健公司X比保险公司Y更成熟,因为这就像拿苹果和桔子做比较一样。为什么?因为每个公司都会根据自己的需要制定正确的计划。即使他们属于一个行业,一家公司有30项活动,另一家公司有50项活动,他们的软件产品也可能具有相同的总体成熟度。
但是我们可以说,一群公司在特定行业中所做的事情在整个行业中似乎具有重要意义。然后,另一个行业的另一组公司进行完全不同的活动,这对他们来说也很重要。它们不一定是相同的活动,但行业之间有趋势。
我还想指出,BSIMM10是BSIMM研究的第一次迭代,它正式地反映了SSI文化的变化这可以在新一轮工程主导的软件安全工作中观察到,这种工作源于部署和操作团队之间自下而上的沟通,而不是软件安全团队自上而下的方法。
在一些企业中,面向工程的安全文化已经成为建立和开发有意义的软件安全措施的一种方式。甚至在几年前,以工程为导向的安全文化就开始扮演这一角色。
BSIMM的数据还显示,开发软件的运动以及配置文件/光盘工具和数字转换的增长正在影响公司为其软件产品寻求软件安全的方式。正因为如此,BSIMM10包括三项新活动。BSIMM10新增的三个活动清晰地描述了一个轨迹:软件定义的生命周期治理、软件定义的资产创建的软件辅助监控以及软件定义的基础设施的自动验证。这表明一些企业正在积极研究如何加快安全部署,以跟上新功能的交付速度。
家企业开始使用DevOps实践将软件迁移到云。我们认为这是大多数公司发生重大变化的驱动力。随着DevOps文化和配置项/光盘工具链与云部署的交叉,我们意识到,考虑到软件安全性,这是行业格局的一个变化。
在这些技术和战略发展的早期阶段仍然存在不确定性,我们还没有完全了解它们的影响。即将推出的新版本BSIMM无疑将为企业从开发平台迁移到开发平台提供更多见解,并指导他们的云部署。
