BSIMM對(duì)于企業(yè)軟件安全的意義

時(shí)間：2022-03-14 01:36:02 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-14 01:36:02 來(lái)源：行業(yè)動(dòng)態(tài)

新思科技軟件質(zhì)量與安全部門(mén)管理顧問(wèn)Olli Jarva

新思科技軟件質(zhì)量與安全部門(mén)管理顧問(wèn)Olli Jarva告訴記者，BSIMM對(duì)已經(jīng)建立真正SSI的企業(yè)進(jìn)行觀察，描述了113項(xiàng)可付諸實(shí)踐的活動(dòng)，通過(guò)量化多家不同企業(yè)的做法，能同時(shí)發(fā)現(xiàn)許多企業(yè)的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數(shù)據(jù)顯示成熟度高的安全計(jì)劃很全面，開(kāi)展了所有12個(gè)實(shí)踐模塊中的多項(xiàng)活動(dòng)。企業(yè)可以憑借BSIMM對(duì)軟件安全計(jì)劃進(jìn)行比較，由此決定哪些活動(dòng)是可能有用的。

現(xiàn)在市面上有很多評(píng)估工具，那么BSIMM有什么不同呢？Olli說(shuō)，現(xiàn)在的安全開(kāi)發(fā)評(píng)估模型從大類(lèi)上分兩類(lèi)，一類(lèi)是指導(dǎo)性模型，還有一類(lèi)叫做描述性模型。指導(dǎo)性模型以O(shè)penSAMM、微軟SDL為代表，它們都是指導(dǎo)性模型。這類(lèi)模型的最大特點(diǎn)就是它已經(jīng)規(guī)定好事項(xiàng)，你需要怎么做下去才是符合這個(gè)模型的一個(gè)事件。BSIMM是描述性模型，與OpenSAMM、微軟SDL的區(qū)別是BSIMM不是告訴你如何往下做，而是描述了你正在做哪些事情，或者已經(jīng)做了哪些事情。

從現(xiàn)實(shí)的角度來(lái)說(shuō)，一家公司開(kāi)展業(yè)務(wù)的時(shí)候，在SDLC（軟件開(kāi)發(fā)生命周期）的時(shí)候，他會(huì)遵循比如微軟的SDL或者OpenSAMM，之后再用BSIMM評(píng)估開(kāi)展地怎么樣，做地好不好，哪里還有缺失，或者哪點(diǎn)做地比較好。BSIMM相對(duì)比較獨(dú)特的一點(diǎn)，就是它可以用來(lái)評(píng)估各種各樣不同的指導(dǎo)性模型。此外，為了保持?jǐn)?shù)據(jù)新鮮度，BSIMM會(huì)更加頻繁地更新自己的模型，保持與時(shí)俱進(jìn)的狀態(tài)。BSIMM本身對(duì)于一些新趨勢(shì)或者新技術(shù)的獲取非常敏銳，包括像大家現(xiàn)在看到的敏捷趨勢(shì)或者容器技術(shù)的應(yīng)用很明顯，BSIMM可以很好地適配敏捷的趨勢(shì)。Olli說(shuō)。

第一版BSIMM于2008年構(gòu)建，現(xiàn)在已經(jīng)更新到第八個(gè)版本。BSIMM8首次于亞太區(qū)發(fā)布，是迄今為止發(fā)布最詳細(xì)的BSIMM數(shù)據(jù)。BSIMM8收集了來(lái)自109家公司的數(shù)據(jù)，并且描述了4769名軟件安全專(zhuān)家的工作成果，展現(xiàn)了軟件安全最佳實(shí)踐模塊背后的科學(xué)性。這些成果對(duì)近30萬(wàn)名開(kāi)發(fā)人員有指導(dǎo)作用，幫助他們最大化地保障產(chǎn)品的安全性。這些開(kāi)發(fā)人員參與約9.5萬(wàn)應(yīng)用程序的開(kāi)發(fā)工作。參與BSIMM8調(diào)研的公司來(lái)自有代表性的垂直行業(yè)，包括金融服務(wù)、獨(dú)立軟件供應(yīng)商（ISVs），云、醫(yī)療衛(wèi)生、物聯(lián)網(wǎng)和保險(xiǎn)。

Olli表示，企業(yè)采用BSIMM模型開(kāi)展安全評(píng)估的時(shí)候，會(huì)覆蓋到整個(gè)軟件研發(fā)過(guò)程的方方面面，比如代碼安全、策略制定怎么樣，上線之后環(huán)境的保護(hù)等等。BSIMM不是一套方法論，而是一個(gè)評(píng)估的工具，會(huì)給企業(yè)呈現(xiàn)一個(gè)軟件安全的可視化的評(píng)估結(jié)果。BSIMM是一個(gè)開(kāi)放的標(biāo)準(zhǔn)，包括一個(gè)基于軟件安全實(shí)踐模塊的框架。通過(guò)建立社區(qū)，BSIMM每年有兩次線下的社區(qū)聚會(huì)、交流。對(duì)于開(kāi)展安全實(shí)踐或者安全活動(dòng)的公司來(lái)說(shuō)，他們可以在社區(qū)或者活動(dòng)中相互學(xué)習(xí)，分享各自的實(shí)踐經(jīng)驗(yàn)。通過(guò)交流、共生，不斷完善自己這樣一個(gè)過(guò)程，企業(yè)可以從中獲取很多的價(jià)值。