BSIMM簡化軟件安全管理

BSIMM10報(bào)告強(qiáng)調(diào)DevOps和垂直行業(yè)軟件安全成熟度

作者：新思科技首席科學(xué)家 Sammy Migues

飛象網(wǎng)訊 BSIMM不是單一用途的軟件安全計(jì)劃(SSIs)基準(zhǔn)測試工具。任何人身居軟件安全管理崗位，不論是集中治理導(dǎo)向型抑或是趨近于產(chǎn)品工程導(dǎo)向型，都可以借助BSIMM簡化管理并獲得持續(xù)改進(jìn)的能力。所有的公司，無論其成熟度、規(guī)模和垂直行業(yè)如何，在從頭開始構(gòu)建新的SSI時(shí)以及隨時(shí)間的推移而逐步完善其計(jì)劃的成熟度時(shí)，都應(yīng)將BSIMM作為參考指南。

新思科技（Synopsys, Inc.，Nasdaq: SNPS）在2019年10月發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM10。BSIMM不是實(shí)驗(yàn)室的產(chǎn)物，而是對上百家公司進(jìn)行了幾百次評估，真實(shí)地反應(yīng)觀察到的軟件安全活動。BSIMM幫助企業(yè)規(guī)劃、執(zhí)行、完善和評估其SSI ，經(jīng)過10個(gè)版本的迭代，提供更全面、更精細(xì)的報(bào)告。

首先，我想指出BSIMM并不是操作指南，而是一種描述性模型。我們可以這樣形容：假設(shè)我們?nèi)グ菰L鄰居，并觀察到“在我們參觀的Y房子中，有X座有機(jī)器人真空吸塵器�！闭堊⒁猓珺SIMM不會做如下之類的報(bào)告：“所有的房子都必須有機(jī)器人真空吸塵器”、“機(jī)器人是唯一可以接受的真空吸塵器”或者“每天必須使用真空吸塵器”，BSIMM也不會進(jìn)行任何其他價(jià)值判斷。BSIMM只報(bào)告其觀察到的東西，僅此而已。

相反，BSIMM只是觀察并報(bào)告軟件安全程序的當(dāng)前狀態(tài)。對企業(yè)的好處是，BSIMM并不是告訴他們用一種單一的方法去做什么，而是詳細(xì)報(bào)告了其它公司已經(jīng)在怎么做了。

BSIMM10反映了觀察到的122家公司真實(shí)的軟件安全活動。代表的公司來自垂直行業(yè)，包括云、物聯(lián)網(wǎng)(IoT)、獨(dú)立軟件供應(yīng)商(ISVs)、科技、醫(yī)療保健、金融服務(wù)、保險(xiǎn)及零售業(yè)。

下圖顯示了所有企業(yè)與示例企業(yè)相比較的蛛網(wǎng)圖。繪制高水位標(biāo)記值可提供低分辨率的成熟度視圖，適用于公司之間、業(yè)務(wù)部門之間，以及同一公司內(nèi)部的比較。與攻擊模型和體系結(jié)構(gòu)分析相比，當(dāng)前的122家公司正在投入更多的精力在策略和指標(biāo)、合規(guī)性和政策以及標(biāo)準(zhǔn)和要求方面，而示例企業(yè)則似乎在攻擊模型、代碼審查和滲透測試領(lǐng)域投入更多。

藍(lán)色為示例企業(yè)

這種觀點(diǎn)可以代表整體成熟度，但也可以按行業(yè)縱向細(xì)分研究，以觀察跨活動的實(shí)踐和各個(gè)行業(yè)之間的增長差異。

例如，在金融服務(wù)等受到嚴(yán)格監(jiān)管的行業(yè)中，面向合規(guī)性和政策的安全活動激增并不足為奇；相反，我們通常看不到ISV或IoT在這個(gè)領(lǐng)域有特別大的投入。 BSIMM報(bào)告得知大多數(shù)垂直行業(yè)都對基礎(chǔ)安全活動有深刻的了解。

由于各種原因，一些垂直行業(yè)在某些領(lǐng)域的努力要比其它垂直行業(yè)多。某些行業(yè)中，他們的特定活動與法規(guī)、條文和合同等和法律有關(guān)的事宜掛鉤。BSIMM10包括12個(gè)實(shí)踐模塊，而這12個(gè)實(shí)踐模塊中又包含119項(xiàng)BSIMM活動。這119項(xiàng)活動的優(yōu)先和受重視程度也會取決于客戶期望和偏好和隱私規(guī)定等。

還有另一種情況，不同的垂直行業(yè)根據(jù)對風(fēng)險(xiǎn)的不同理解來執(zhí)行不同的安全活動。我們在高水位標(biāo)記值可以看到這一點(diǎn)。而高水位圖又反映了幫助其建立特定SSI的基礎(chǔ)活動和較不常見的活動。

我們不能說醫(yī)療保健公司X比保險(xiǎn)公司Y更成熟，因?yàn)檫@就像將蘋果與桔子進(jìn)行比較。為什么？因?yàn)槊總�(gè)公司都會根據(jù)自己的需求制定正確的計(jì)劃。即使他們屬于一個(gè)行業(yè)，一家公司進(jìn)行30項(xiàng)活動，另一家公司進(jìn)行50項(xiàng)活動，他們的軟件產(chǎn)品也可能具有相同的總體成熟度。

但是我們可以說，在特定行業(yè)內(nèi)的一組公司所做的事情似乎在整個(gè)行業(yè)內(nèi)都具有重要意義。然后，另一個(gè)行業(yè)的另一組公司進(jìn)行完全不同的活動，這對他們來說也很重要。它們不一定是同一項(xiàng)活動，但是每個(gè)行業(yè)之間都有趨勢。

我還要指出，BSIMM10是BSIMM研究的第一個(gè)迭代，正式反映了SSI文化的變化。在新一波由工程主導(dǎo)的軟件安全工作浪潮中可以觀察到這一點(diǎn)，這些工作源于部署和運(yùn)營團(tuán)隊(duì)自下而上的溝通，而不是軟件安全團(tuán)隊(duì)自上而下的方式。

在一些企業(yè)中，以工程為主導(dǎo)的安全文化已成為一種建立和發(fā)展有意義的軟件安全措施的方式。即使在幾年前，以工程為主導(dǎo)的安全文化已經(jīng)開始發(fā)揮這個(gè)作用。

BSIMM數(shù)據(jù)還表明，DevOps運(yùn)動以及CI / CD工具和數(shù)字化轉(zhuǎn)型的增長，這正在影響公司為其軟件產(chǎn)品尋求軟件安全的方式。正因?yàn)槿绱�，BSIMM10包括三個(gè)新活動。BSIMM10新增加的三項(xiàng)活動清晰地描述了一條軌跡：軟件定義生命周期治理、軟件定義資產(chǎn)創(chuàng)建的軟件輔助監(jiān)控、以及軟件定義基礎(chǔ)架構(gòu)的自動驗(yàn)證。這表明一些企業(yè)正在積極研究如何加快安全部署，以跟上新功能的交付速度。

企業(yè)開始使用DevOps實(shí)踐，將軟件移向云端。我們看到這是大多數(shù)公司重要變革的推動力。隨著DevOps文化和CI / CD工具鏈與云部署相交，我們在考慮軟件安全性時(shí)意識到這是一個(gè)改變行業(yè)格局的進(jìn)展。

在這些技術(shù)和策略發(fā)展的早期階段，仍有不確定因素，我們尚未完全理解其影響。BSIMM即將到來的新版本肯定會為企業(yè)從DevOps遷移到DevSecOps提供更多見解，并指點(diǎn)其云部署。