新思科技BSIMM12强调企业云化安全深入

2021-11-23 09:10

文︱朵啦

图︱新思科技

 

 

2021年全球及中国安全数字化转型发展正面临新机遇与挑战,万物物联时代,构建安全优质的软件比以往任何时候都更具挑战性。要想通过协调一致的方式灌输、测量、管理和改善软件安全活动,就需要执行软件安全计划 (SSI),还必须确保 SSI 与软件的动态开发环境保持同步,其中包括开发方法、DevOps 文化、部署环境、监管要求、供应链、软件发布周期等等。要做到这一点,需要了解 SSI 的现状,以及用于创建改进策略和确定 SSI 更改优先级的数据。目前,针对软件安全性问题的解决方案有很多。大体分为两大类,一种是以微软SDL为代表的“指导性”模型。一种是新思科技BSIMM(软件安全构建成熟度模型)“描述性”模型。

 

BSIMM作为一种描述性模型,如一把尺对观察到的活动进行评估,为企业的软件安全计划提供基线。从2008年第一版开始,BSIMM的版本迭代就一直由新思科技 (Synopsys) 和 BSIMM 社区双方协力完成,BSIMM模型发展至今已经有了12年的历史。新思科技在今年11月12日宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM12,新思科技软件质量与安全部门高级安全架构师杨国梁介绍了BSIMM12的一些基本情况,分享新思科技对软件安全活动新动态的一些评估和思考。

 

 

BSIMM12保持数据新鲜度,包容行业属性

BSIMM项目已从2008年的9家参与企业发展到2021年的128家,包括金融服务、金融科技、独立软件供应商(ISV)、物联网(IoT)、医疗健康、云计算和科技公司,目前拥有近3,000名软件安全团队成员和6,000多名外围小组(又名安全拥护者)成员。BSIMM12收集了共128家的活跃样本数据,保持了一贯的数据新鲜度,将更新的时间节点定为42个月。杨国梁表示,42个月是一个企业的软件安全活动经历从尚未成熟迈向相对成熟的演变节点,如果企业在设定节点未被评估到,其数据便不再具备代表性。

 

新思科技表示不对评估的行业属性设限,BSIMM12就覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。当相同行业的公司被评估的数量累积至节点,即划为一项评估分类。从各行业划分来看,金融类一直是一个相对比较大的分支,继BSIMM11首次被添加进描述系统,此次BSIMM12占比28%。而从地理位置上来看,目前多数行业在北美,占比79%,欧盟包括英国是13%,亚太也在逐年增多,其中中国是主力。

 

图:BSIMM12参与企业

图:物联网与金融科技行业比较

 

另外,新思观察到各行业的软件安全活动侧重各有不同。例如,物联网和金融科技行业都认为执行安全功能审查活动很重要,但物联网公司对高风险应用程序执行设计审查的频率却远远高于金融科技公司,而金融科技公司使用风险评估方法对应用程序进行排序的活动频率则远远高于物联网公司。因此,杨国梁表示,企业并不需要将整个BSIMM12模型里面所有的活动都兼顾到,只需择选行业认为最有价值的活动。

 

BSIMM12报告帮助安全计划跟上变化的步伐

在过去的几年中,现代软件的构建和部署方式有了巨大改变,开源组件盛行,并且利用开源漏洞进行的攻击频发,因此为确保软件安全所需的举措自然也在发生变化。安全团队可通过将软件安全活动与BSIMM数据进行比较,使结果风险数据化、可视化展现,使企业使用安全测试遥测技术来推动改进安全软件开发生命周期流程,或策略和标准中的治理环节,从而帮助企业内部更好地驱动软件安全的落地。此次BSIMM12软件安全活动的新兴趋势如下:

 

影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。BSIMM 数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了 61%,“创建 SLA 样板文件”活动增加了 57%。

 

企业开始学习如何将风险转化为数据。企业正更加努力地收集和发布他们的软件安全计划数据。过去 24 个月“在内部发布有关软件安全的数据”活动增加了 30%,证明了这一点。

 

增强的云安全功能。管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。

 

持续安全软件开发生命周期改进。在及早地、持续地进行较小规模的测试活动时,企业了解到安全遥测必须从生命周期的一个阶段传递到下一个阶段,就像软件工件本身从生命周期的一个阶段传递到下一个阶段一样。这一持续发展的趋势反映在两项新活动中,即BSIMM10中引入的 “自动验证基础运维设施安全”和BSIMM11中引入的 “实施事件驱动的自动化安全测试”。

 

安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM 数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。

 

件物料清单活动增加了 367%。BSIMM 数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能;创建软件物料清单 (BOM);了解软件是如何构建、配置和部署的;以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件 BOM 的需求,与这些功能相关的 BSIMM 活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。

 

此外,跟随开源、云、容器安全活动增长显著,企业为更好地管理风险,从“左移”转向“无处不移”的趋势在持续,安全软件开发生命周期也在持续改进,以及高风险应用的架构分析和设计审查变得越来越普遍。

 

安全软件计划与其开发生命周期需深度集成

如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。安全不应是在终末被叠加的辅助性功能,而应蕴于整个系统的天然特质。因此要想获得安全的软件,必须与软件开发生命周期进行深度集成。

 

BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队正在采取的举措。企业通过BSIMM报告可以了解其它公司近乎实时的对软件安全计划的处理方式,从而为制定自己的软件安全计划策略提供直接参考,在软件安全计划中起到预防、检测、纠正或补偿控制措施的作用。GENETEC于2016年12月开始与BSIMM合作,在过去五年进行了两次评估,正如其首席安全架构师Mathieu Chevalier表示,BSIMM帮助企业评估了我们的产品安全计划,并指导我们去往何处。

 

BSIMM 模型及社区对企业评估自身的软件安全实践、判断行业所处位置、以及明确软件安全工作的可能的趋势和思路,具有丰富、实际的借鉴意义。新思科技在软件质量与安全的积累,以及其对中文软件安全社区的倍加关注,期待BSIMM持续为更多企业的软件安全工作,提供实质性的帮助与支持。

 

 

 

热门资讯

​​氮化镓技术再迭代,GaNSense引领智能

纳微半导体(Navitas)刚刚发布了全球首款采用GaNSense技术的智能GaNFast氮化镓功率芯片,使用了两颗NV6134 GaNSense系列器件,相比传统硅方案效率提升1.5%,仅...

2021-11-23 142

瑞能半导体:第六代碳化硅产品积极拓

电动化浪潮之下,各类包括碳化硅(SiC)和氮化镓(GaN)在内的新材料及新型功率器件正突破传统材料的限制,推动着电子电力技术发展。...

2021-11-23 181

新思科技BSIMM12强调企业云化安全深入

文︱ 朵啦 图︱ 新思科技 2021年全球及中国安全数字化转型发展正面临新机遇与挑战,万物物联时代,构建安全优质的软件比以往任何时候都更具挑战性。...

2021-11-23 191

超越摩尔,中国动了外延设备市场的奶

Yole半导体制造技术与市场分析师Vishnu Kumaresan博士说:我们正处于一个关键的历史时期,我们周围的每一台设备都在变得更加智能、绿色和紧凑。他补充道...

2021-11-22 196

面对高速链路测试重重挑战,轻松实现

作者:泰克科技 _____ 全面表征高速链路,要求透过被测链路的多条不同通路执行发射机(Tx)和接收机(Rx)测量,这给全自动测试环境带来了挑战。PCI Express端...

2021-11-22 123

用于毫米波5G基础设施的波束成型器前端

作者:泰克科技 _____ 5G发展势头强劲,5G毫米波(mmWave)频段提供了丰富的频谱,以支持极高的容量、高吞吐量、低时延及数量不断上升的5G毫米波设备,包括...

2021-11-22 193