BSIMM11都有哪些新發(fā)現(xiàn)？

時間：2022-04-18 05:06:01 | 來源：行業(yè)動態(tài)

時間：2022-04-18 05:06:01 來源：行業(yè)動態(tài)

BSIMM評估包含12項實踐與4大領(lǐng)域，涵蓋軟件開發(fā)過程里面涉及到的方方面面，比如培訓情況、合規(guī)能力、測試的能力、架構(gòu)分析、安全工程設(shè)計，甚至包括滲透測試、攻擊模型、代碼審查等。從2008年以來，新思科技總共對211家企業(yè)開展了大概500次左右的BSIMM的測評，而BSIMM11反映了130家企業(yè)中的觀察到的軟件的活動。

楊國梁還特別指出，BSIMM11的企業(yè)數(shù)為什么不是211家所有的企業(yè)，因為BSIMM有一個概念叫數(shù)據(jù)的新鮮度。如果一個企業(yè)間隔超過36個月沒有再做一次新的BSIMM評估，那在今年度的BSIMM報告里面就會把它剔除掉。因為三年前的數(shù)據(jù)已經(jīng)不具備代表性，所以說BSIMM能夠代表當下的最新情況。

BSIMM11表明，許多企業(yè)正在調(diào)整其軟件安全計劃，以支持數(shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例，報告發(fā)現(xiàn)的新趨勢包括：

中央監(jiān)管式的管理導向和工程技術(shù)導向是企業(yè)兩種軟件管理文化流派，中央監(jiān)管式是強調(diào)規(guī)范、合規(guī)、檢查點、集中測試等，而工程技術(shù)導向更關(guān)注軟件安全度、價值流測試、自動化為先等。其實兩種流派有著共同的目標，那就是彈性、質(zhì)量、安全。工程技術(shù)導向的軟件安全工作正在成功地為實現(xiàn)彈性的DevOps價值流貢獻力量。

BSIMM11表明，持續(xù)集成和持續(xù)交付（CI/CD）工具和運維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作，并且正在影響SSI的組織、設(shè)計和執(zhí)行方式。例如，軟件安全團隊越來越多地向技術(shù)小組或首席技術(shù)官匯報工作（而不是IT安全團隊或首席信息安全官），并且正在改變內(nèi)部招募和組織人才的方式。

軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動化活動替代一些摩擦性高的帶外（out-of-band）數(shù)據(jù)安全活動。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

安全左移變?yōu)闊o處不移。左移概念的實現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時立即執(zhí)行安全活動。這可能意味著在過去我們認為在左側(cè)（較早期）的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)（偏后期，包括生產(chǎn)階段）。現(xiàn)在軟件開發(fā)部署模型的每個階段都有了更多安全活動的開展。

云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異：金融服務(wù)、醫(yī)療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團隊，因此，與醫(yī)療保健和保險行業(yè)相比，擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓、安全測試和代碼審查實踐中。

軟件的自動化趨勢越來越明顯，在過去的一年中，添加到BSIMM10中的三個活動取得了驚人的增長（SM3.4集成軟件定義生命周期管理、AM3.3監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5自動驗證運營基礎(chǔ)運維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應(yīng)軟件交付的速度。此外，BSIMM11中添加的兩個活動顯示了這一趨勢在延續(xù)（ST3.6自動實施事件驅(qū)動的安全性測試，CMVM3.6發(fā)布可部署工件的風險數(shù)據(jù)）。

楊國梁表示，在過去三年的BSIMM的模型中，我們觀察到了8個新的活動，而這8個新的活動其實都跟我們說的DevSecOps有關(guān)，所以DevSecOps也是一個明顯的增長趨勢。BSIMM模型在不斷的演進過程中，也在不斷反映新的軟件安全活動。