根據(jù) Risk Based Security 的報(bào)告,今年上半年業(yè)界發(fā)布了 10,644 個漏洞,超過 2017 年同期的 9,690 個漏洞,其中有近 17%屬于高危級別的嚴(yán)重漏洞,企業(yè)和個人面臨的安全威脅與日俱增。因此,軟件安全成為所有軟件公司關(guān)注的重中之重。而且大多數(shù)認(rèn)識到軟件安全性的企業(yè)都對如下方面的不確定性困惑不已:到底應(yīng)該進(jìn)行什么程度和類型的投資?我們是否把投資優(yōu)先用于正確領(lǐng)域了?我們是否使用了足夠的技術(shù)?技術(shù)是否過多了?許多早期領(lǐng)導(dǎo)者將自己的職業(yè)成功押注在如何做出正確的選擇,于是,他們特別想知道,從該領(lǐng)域以及從他們的職業(yè)生涯兩個方面看,未來到底會怎么發(fā)展?
市面上有很多提高軟件安全性的解決方案,它們給出了明確的改進(jìn)建議,但是每款軟件所適用的領(lǐng)域、定義的功能都不相同,它們需要一個框架性的指導(dǎo)方案,某一個改進(jìn)方案并不能解決它們的實(shí)際問題,于是十年前新思科技開始構(gòu)建軟件安全構(gòu)建成熟度模型(簡稱 BSIMM),旨在幫助組織機(jī)構(gòu)更有效地實(shí)施軟件安全性的技術(shù)。
新思科技軟件質(zhì)量與安全部門管理顧問 Olli Jarva
新思科技軟件質(zhì)量與安全部門管理顧問 Olli Jarva 介紹,“BSIMM 是一項(xiàng)關(guān)于軟件安全計(jì)劃的研究。通過量化多家不同企業(yè)的實(shí)踐,我們得以發(fā)現(xiàn)許多企業(yè)的共同點(diǎn)以及彰顯個性的不同之處。我們旨在幫助更廣大的軟件安全社區(qū)規(guī)劃、實(shí)施和評估他們自己的計(jì)劃。”
BSIMM 讓企業(yè) “知己知彼、百戰(zhàn)不殆”
在 2008 年,新思科技開始構(gòu)建 BSIMM 初期,軟件安全作為一個領(lǐng)域仍處于初級階段,衡量任何特定計(jì)劃成熟度的唯一方法就是將它與其他組織機(jī)構(gòu)的計(jì)劃進(jìn)行對比。有些公司發(fā)布了說明性指南,例如“Microsoft 安全開發(fā)生命周期”,但這些努力與這些組織機(jī)構(gòu)開發(fā)軟件的方式耦合過于緊密,因此很難成為其他企業(yè)的有用標(biāo)尺。還有少數(shù)軟件安全領(lǐng)域的開拓者通過建立特定社區(qū)來相互學(xué)習(xí)和共享,但這種方法只是創(chuàng)建了一些難以加入且?guī)缀鯚o法擴(kuò)展的孤立群體。
從啟動 BSIMM 研究以來,新思科技共對 167 家企業(yè)開展過調(diào)研,這包含 389 次不同的評估,有些企業(yè)使用 BSIMM 來評估其每一個業(yè)務(wù)部門,而且某些業(yè)務(wù)部門還被評估過不止一次。BSIMM 開展的工作表明,評估一家企業(yè)的軟件安全計(jì)劃既是可行的,也是非常有用的。組織機(jī)構(gòu)可以借助于其 BSIMM 評估結(jié)果來規(guī)劃、構(gòu)建及執(zhí)行軟件安全計(jì)劃的演進(jìn)。
BSIMM 與市面上其它方案的不同在于,其它方案都是給出明確的做法,從而讓用戶提高軟件安全性,BSIMM 不是一份‘行動’指南,也不是一套萬能工具,而是對軟件安全行業(yè)目前狀態(tài)的反映,只報(bào)告其觀察到的東西。Olli Jarva 舉了一個形象的例子,“我們漫步在叢林之中,漫無目的地四處張望,發(fā)現(xiàn)“猴子在我們游覽的 Y 叢林的 X 處吃香蕉”。請注意,BSIMM 不會做如下之類的報(bào)告:您應(yīng)當(dāng)只吃黃色香蕉,不要一邊跑一邊吃香蕉,不要偷吃鄰居的香蕉,而且 BSIMM 也不會進(jìn)行任何其他價(jià)值判斷。BSIMM 只報(bào)告其觀察到的東西,僅此而已。
BSIMM 旨在量化真實(shí)的軟件安全計(jì)劃所開展的活動。由于這些計(jì)劃使用了不同的方法和不同的術(shù)語,因此,BSIMM 需要借助一個框架來幫助我們以統(tǒng)一的方式來描述所有計(jì)劃。我們的軟件安全框架(SSF)和活動描述為解釋 SSI(軟件安全計(jì)劃)中的突出要素提供了一套通用詞匯表,從而能夠讓我們對各種各樣的計(jì)劃進(jìn)行比較,即使它們采用了不同的術(shù)語,運(yùn)行于不同規(guī)模,存在于不同的垂直市場,或者創(chuàng)建不同的工作產(chǎn)品。
Olli Jarva 表示,“我們把我們的工作成果歸類為成熟度模型,因?yàn)樘岣哕浖踩詭缀蹩偸切枰髽I(yè)改變其運(yùn)作方式,這可不是一朝一夕的事情。我們認(rèn)識到,并非所有的企業(yè)都需要實(shí)現(xiàn)相同的安全目標(biāo),但我們相信,如果采用統(tǒng)一的標(biāo)尺,所有的企業(yè)都會受益。”
這個標(biāo)尺讓企業(yè)可以看到其它企業(yè)在進(jìn)行哪些改進(jìn),從而判斷自己是否要在這些方面進(jìn)行改進(jìn),這或許就是孫子兵法所說的“知己知彼,百戰(zhàn)不殆”。
BSIMM9 在數(shù)據(jù)庫中納入新的垂直行業(yè)
近期,新思科技發(fā)布了 BSIMM9,它是軟件安全構(gòu)建成熟度模型(BSIMM)的第九個版本,收集了 120 家企業(yè)過去 10 年的真實(shí)數(shù)據(jù)。BSIMM9 強(qiáng)調(diào)了云轉(zhuǎn)型的影響和軟件安全社區(qū)的發(fā)展,并且在數(shù)據(jù)庫中納入了新的垂直行業(yè) -- 零售業(yè)。
BSIMM9 描述了 7,800 多名軟件安全專家的工作成果,展現(xiàn)了軟件安全最佳實(shí)踐模塊背后的科學(xué)性。這些成果對 41.5 萬名開發(fā)人員有指導(dǎo)作用,幫助他們最大化地保障產(chǎn)品的安全性。這些開發(fā)人員參與約 13.5 萬應(yīng)用程序的開發(fā)工作。參與 BSIMM9 調(diào)研的企業(yè)來自有代表性的垂直行業(yè),包括金融服務(wù)、獨(dú)立軟件供應(yīng)商(ISVs),云、醫(yī)療衛(wèi)生、物聯(lián)網(wǎng)、保險(xiǎn)及零售業(yè)。BSIMM9 的主要發(fā)現(xiàn)包括:
云轉(zhuǎn)型:企業(yè)正在將其工作負(fù)載和開發(fā)流程遷移到云端 - 這種模式轉(zhuǎn)變需要采取不同的軟件安全措施。新思科技在評估過程中發(fā)現(xiàn)了三種直接或間接與云轉(zhuǎn)型有關(guān)的新活動并將它們加入到 BSIMM 報(bào)告。此外,在獨(dú)立軟件供應(yīng)商、物聯(lián)網(wǎng)公司和云計(jì)算公司(三個最突出的垂直行業(yè))觀察到的多種活動已開始融合,這表明通用云架構(gòu)需要類似的軟件安全方法。
BSIMM 應(yīng)用在不同垂直行業(yè):BSIMM 可用來比較同一行業(yè)以及不同垂直行業(yè)之間的軟件安全計(jì)劃。BSIMM9 數(shù)據(jù)中納入了一個新的垂直行業(yè)——零售業(yè)。隨著電子商務(wù)模式的崛起,保持軟件安全對促進(jìn)零售業(yè)健康發(fā)展至關(guān)重要,因此軟件安全計(jì)劃在這個行業(yè)的發(fā)展相對更快一些。零售業(yè)在安全方面已經(jīng)比醫(yī)療保健和保險(xiǎn)業(yè)更加成熟。
評估群體規(guī)模擴(kuò)大:BSIMM8 收集的數(shù)據(jù)來自 109 家公司,BSIMM9 增加到 120 家。它所涵蓋的開發(fā)人員數(shù)量增長了 43%,其評估的軟件安全從業(yè)人員數(shù)量增長了 65%。BSIMM 規(guī)模的大幅提升也反映了軟件安全正在成為日益重要的優(yōu)先事項(xiàng)。
當(dāng)然,用戶也會關(guān)心 BSIMM 如何確保樣本的新鮮度?新思科技的做法是不斷更新參與企業(yè)的名單,在 BSIMM9 中就剔除了那些時間已超過 42 個月的評估結(jié)果。得益于反復(fù)的評估,新思科技不僅能夠報(bào)告受訪企業(yè)當(dāng)前的實(shí)踐,而且還能夠報(bào)告某些計(jì)劃多年來的演進(jìn)方式。
與非網(wǎng)原創(chuàng)內(nèi)容,未經(jīng)允許,不得轉(zhuǎn)載!
?