12月2日消息,当前,如何让自己的软件更安全是许多企业必须持续思考的课题,业界普遍认为,打造安全可靠的软件离不开软件安全构建评估模型。
自2008年首次发布新思科技软件安全构建成熟度模型(BSIMM)以来,BSIMM的第13个版本如期而至,在新思科技BSIMM13媒体采访会上,新思科技中国区软件应用安全业务总监杨国梁表示,BSIMM它本身扮演了一个“他山之石,可以攻玉”的角色,当你知道你的竞争对手、你的友商们都是在怎么做软件安全这件事情的时候,你就可以拿来评估一下自己的,所以它在这方面起的“他山之石”的角色还是广受大家的欢迎。
据杨国梁介绍,自2008年以来,BSIMM报告对254家公司进行了评估,而BSIMM13中一共有130家企业贡献了本次评估的数据池,杨国梁解释称,“BSIMM是以鲜活的实时数据为底座的活的报告,所以新版的BSIMM13移除了36个月没有新的评估结果的公司,收录了130家保持着数据新鲜度的公司。”也就是说,只有这样实时的新鲜数据才有参考价值和借鉴意义,数量不是关键,质量和新鲜度才是关键。
这130家公司中,75%来自北美,分别有12%和13%来自亚太和欧洲、中东、非洲。具体到垂直行业,涵盖的比较广:医疗健康、金融科技、保险、科技、物联网、云计算、独立软件制造商等等,这些都构成了BSIMM这130家企业的数据的基础。
杨国梁重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:
安全“左移”正在演变成“无处不移”。杨国梁指出,安全问题并不仅仅是左移这么简单地就可以把所有的安全问题都解决了。在每一个阶段、每一个节点事实上都会由于它的生产活动引入一些独有的安全问题,比如设计阶段可能会有一些逻辑类的问题,比如部署阶段可能会有一些配置类的问题导致的安全事件。
将安全集成到开发人员工具链中。在过去 12 个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展,这是实施安全“无处不移”的策略的一部分。BSIMM13 数据指出,使企业能够将安全测试纳入QA(质量保证) 自动化的活动增加了 48%。
管理软件供应链风险及SBOM(软件物料清单)兴起。可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13 报告显示,在过去 12 个月中,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。
将软件安全扩展到产品和应用之外。BSIMM13 数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为 CI/CD 创建的自动化)。过去 12 个月,利用运营数据进行持续改进的活动增长了 95%。