BSIMM簡化軟件安全管理

BSIMM10報告強調(diào)DevOps和垂直行業(yè)軟件安全成熟度

作者：新思科技首席科學家 Sammy Migues

飛象網(wǎng)訊 BSIMM不是單一用途的軟件安全計劃(SSIs)基準測試工具。任何人身居軟件安全管理崗位，不論是集中治理導向型抑或是趨近于產(chǎn)品工程導向型，都可以借助BSIMM簡化管理并獲得持續(xù)改進的能力。所有的公司，無論其成熟度、規(guī)模和垂直行業(yè)如何，在從頭開始構(gòu)建新的SSI時以及隨時間的推移而逐步完善其計劃的成熟度時，都應(yīng)將BSIMM作為參考指南。

新思科技（Synopsys, Inc.，Nasdaq: SNPS）在2019年10月發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM10。BSIMM不是實驗室的產(chǎn)物，而是對上百家公司進行了幾百次評估，真實地反應(yīng)觀察到的軟件安全活動。BSIMM幫助企業(yè)規(guī)劃、執(zhí)行、完善和評估其SSI ，經(jīng)過10個版本的迭代，提供更全面、更精細的報告。

首先，我想指出BSIMM并不是操作指南，而是一種描述性模型。我們可以這樣形容：假設(shè)我們?nèi)グ菰L鄰居，并觀察到“在我們參觀的Y房子中，有X座有機器人真空吸塵器。”請注意，BSIMM不會做如下之類的報告：“所有的房子都必須有機器人真空吸塵器”、“機器人是唯一可以接受的真空吸塵器”或者“每天必須使用真空吸塵器”，BSIMM也不會進行任何其他價值判斷。BSIMM只報告其觀察到的東西，僅此而已。

相反，BSIMM只是觀察并報告軟件安全程序的當前狀態(tài)。對企業(yè)的好處是，BSIMM并不是告訴他們用一種單一的方法去做什么，而是詳細報告了其它公司已經(jīng)在怎么做了。

BSIMM10反映了觀察到的122家公司真實的軟件安全活動。代表的公司來自垂直行業(yè)，包括云、物聯(lián)網(wǎng)(IoT)、獨立軟件供應(yīng)商(ISVs)、科技、醫(yī)療保健、金融服務(wù)、保險及零售業(yè)。

下圖顯示了所有企業(yè)與示例企業(yè)相比較的蛛網(wǎng)圖。繪制高水位標記值可提供低分辨率的成熟度視圖，適用于公司之間、業(yè)務(wù)部門之間，以及同一公司內(nèi)部的比較。與攻擊模型和體系結(jié)構(gòu)分析相比，當前的122家公司正在投入更多的精力在策略和指標、合規(guī)性和政策以及標準和要求方面，而示例企業(yè)則似乎在攻擊模型、代碼審查和滲透測試領(lǐng)域投入更多。

藍色為示例企業(yè)

這種觀點可以代表整體成熟度，但也可以按行業(yè)縱向細分研究，以觀察跨活動的實踐和各個行業(yè)之間的增長差異。

例如，在金融服務(wù)等受到嚴格監(jiān)管的行業(yè)中，面向合規(guī)性和政策的安全活動激增并不足為奇；相反，我們通常看不到ISV或IoT在這個領(lǐng)域有特別大的投入。 BSIMM報告得知大多數(shù)垂直行業(yè)都對基礎(chǔ)安全活動有深刻的了解。

由于各種原因，一些垂直行業(yè)在某些領(lǐng)域的努力要比其它垂直行業(yè)多。某些行業(yè)中，他們的特定活動與法規(guī)、條文和合同等和法律有關(guān)的事宜掛鉤。BSIMM10包括12個實踐模塊，而這12個實踐模塊中又包含119項BSIMM活動。這119項活動的優(yōu)先和受重視程度也會取決于客戶期望和偏好和隱私規(guī)定等。

還有另一種情況，不同的垂直行業(yè)根據(jù)對風險的不同理解來執(zhí)行不同的安全活動。我們在高水位標記值可以看到這一點。而高水位圖又反映了幫助其建立特定SSI的基礎(chǔ)活動和較不常見的活動。

我們不能說醫(yī)療保健公司X比保險公司Y更成熟，因為這就像將蘋果與桔子進行比較。為什么？因為每個公司都會根據(jù)自己的需求制定正確的計劃。即使他們屬于一個行業(yè)，一家公司進行30項活動，另一家公司進行50項活動，他們的軟件產(chǎn)品也可能具有相同的總體成熟度。

但是我們可以說，在特定行業(yè)內(nèi)的一組公司所做的事情似乎在整個行業(yè)內(nèi)都具有重要意義。然后，另一個行業(yè)的另一組公司進行完全不同的活動，這對他們來說也很重要。它們不一定是同一項活動，但是每個行業(yè)之間都有趨勢。

我還要指出，BSIMM10是BSIMM研究的第一個迭代，正式反映了SSI文化的變化。在新一波由工程主導的軟件安全工作浪潮中可以觀察到這一點，這些工作源于部署和運營團隊自下而上的溝通，而不是軟件安全團隊自上而下的方式。

在一些企業(yè)中，以工程為主導的安全文化已成為一種建立和發(fā)展有意義的軟件安全措施的方式。即使在幾年前，以工程為主導的安全文化已經(jīng)開始發(fā)揮這個作用。

BSIMM數(shù)據(jù)還表明，DevOps運動以及CI / CD工具和數(shù)字化轉(zhuǎn)型的增長，這正在影響公司為其軟件產(chǎn)品尋求軟件安全的方式。正因為如此，BSIMM10包括三個新活動。BSIMM10新增加的三項活動清晰地描述了一條軌跡：軟件定義生命周期治理、軟件定義資產(chǎn)創(chuàng)建的軟件輔助監(jiān)控、以及軟件定義基礎(chǔ)架構(gòu)的自動驗證。這表明一些企業(yè)正在積極研究如何加快安全部署，以跟上新功能的交付速度。

企業(yè)開始使用DevOps實踐，將軟件移向云端。我們看到這是大多數(shù)公司重要變革的推動力。隨著DevOps文化和CI / CD工具鏈與云部署相交，我們在考慮軟件安全性時意識到這是一個改變行業(yè)格局的進展。

在這些技術(shù)和策略發(fā)展的早期階段，仍有不確定因素，我們尚未完全理解其影響。BSIMM即將到來的新版本肯定會為企業(yè)從DevOps遷移到DevSecOps提供更多見解，并指點其云部署。