BSIMM10報告強調(diào)DevOps和垂直行業(yè)軟件安全成熟度
作者:新思科技首席科學家 Sammy Migues
飛象網(wǎng)訊 BSIMM不是單一用途的軟件安全計劃(SSIs)基準測試工具。任何人身居軟件安全管理崗位,不論是集中治理導向型抑或是趨近于產(chǎn)品工程導向型,都可以借助BSIMM簡化管理并獲得持續(xù)改進的能力。所有的公司,無論其成熟度、規(guī)模和垂直行業(yè)如何,在從頭開始構(gòu)建新的SSI時以及隨時間的推移而逐步完善其計劃的成熟度時,都應將BSIMM作為參考指南。
新思科技(Synopsys, Inc.,Nasdaq: SNPS)在2019年10月發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM10。BSIMM不是實驗室的產(chǎn)物,而是對上百家公司進行了幾百次評估,真實地反應觀察到的軟件安全活動。BSIMM幫助企業(yè)規(guī)劃、執(zhí)行、完善和評估其SSI ,經(jīng)過10個版本的迭代,提供更全面、更精細的報告。
首先,我想指出BSIMM并不是操作指南,而是一種描述性模型。我們可以這樣形容:假設我們?nèi)グ菰L鄰居,并觀察到“在我們參觀的Y房子中,有X座有機器人真空吸塵器!闭堊⒁猓珺SIMM不會做如下之類的報告:“所有的房子都必須有機器人真空吸塵器”、“機器人是唯一可以接受的真空吸塵器”或者“每天必須使用真空吸塵器”,BSIMM也不會進行任何其他價值判斷。BSIMM只報告其觀察到的東西,僅此而已。
相反,BSIMM只是觀察并報告軟件安全程序的當前狀態(tài)。對企業(yè)的好處是,BSIMM并不是告訴他們用一種單一的方法去做什么,而是詳細報告了其它公司已經(jīng)在怎么做了。
BSIMM10反映了觀察到的122家公司真實的軟件安全活動。代表的公司來自垂直行業(yè),包括云、物聯(lián)網(wǎng)(IoT)、獨立軟件供應商(ISVs)、科技、醫(yī)療保健、金融服務、保險及零售業(yè)。
下圖顯示了所有企業(yè)與示例企業(yè)相比較的蛛網(wǎng)圖。繪制高水位標記值可提供低分辨率的成熟度視圖,適用于公司之間、業(yè)務部門之間,以及同一公司內(nèi)部的比較。與攻擊模型和體系結(jié)構(gòu)分析相比,當前的122家公司正在投入更多的精力在策略和指標、合規(guī)性和政策以及標準和要求方面,而示例企業(yè)則似乎在攻擊模型、代碼審查和滲透測試領域投入更多。
藍色為示例企業(yè)
這種觀點可以代表整體成熟度,但也可以按行業(yè)縱向細分研究,以觀察跨活動的實踐和各個行業(yè)之間的增長差異。
例如,在金融服務等受到嚴格監(jiān)管的行業(yè)中,面向合規(guī)性和政策的安全活動激增并不足為奇;相反,我們通常看不到ISV或IoT在這個領域有特別大的投入。 BSIMM報告得知大多數(shù)垂直行業(yè)都對基礎安全活動有深刻的了解。
由于各種原因,一些垂直行業(yè)在某些領域的努力要比其它垂直行業(yè)多。某些行業(yè)中,他們的特定活動與法規(guī)、條文和合同等和法律有關的事宜掛鉤。BSIMM10包括12個實踐模塊,而這12個實踐模塊中又包含119項BSIMM活動。這119項活動的優(yōu)先和受重視程度也會取決于客戶期望和偏好和隱私規(guī)定等。
還有另一種情況,不同的垂直行業(yè)根據(jù)對風險的不同理解來執(zhí)行不同的安全活動。我們在高水位標記值可以看到這一點。而高水位圖又反映了幫助其建立特定SSI的基礎活動和較不常見的活動。
我們不能說醫(yī)療保健公司X比保險公司Y更成熟,因為這就像將蘋果與桔子進行比較。為什么?因為每個公司都會根據(jù)自己的需求制定正確的計劃。即使他們屬于一個行業(yè),一家公司進行30項活動,另一家公司進行50項活動,他們的軟件產(chǎn)品也可能具有相同的總體成熟度。
但是我們可以說,在特定行業(yè)內(nèi)的一組公司所做的事情似乎在整個行業(yè)內(nèi)都具有重要意義。然后,另一個行業(yè)的另一組公司進行完全不同的活動,這對他們來說也很重要。它們不一定是同一項活動,但是每個行業(yè)之間都有趨勢。
我還要指出,BSIMM10是BSIMM研究的第一個迭代,正式反映了SSI文化的變化。在新一波由工程主導的軟件安全工作浪潮中可以觀察到這一點,這些工作源于部署和運營團隊自下而上的溝通,而不是軟件安全團隊自上而下的方式。
在一些企業(yè)中,以工程為主導的安全文化已成為一種建立和發(fā)展有意義的軟件安全措施的方式。即使在幾年前,以工程為主導的安全文化已經(jīng)開始發(fā)揮這個作用。
BSIMM數(shù)據(jù)還表明,DevOps運動以及CI / CD工具和數(shù)字化轉(zhuǎn)型的增長,這正在影響公司為其軟件產(chǎn)品尋求軟件安全的方式。正因為如此,BSIMM10包括三個新活動。BSIMM10新增加的三項活動清晰地描述了一條軌跡:軟件定義生命周期治理、軟件定義資產(chǎn)創(chuàng)建的軟件輔助監(jiān)控、以及軟件定義基礎架構(gòu)的自動驗證。這表明一些企業(yè)正在積極研究如何加快安全部署,以跟上新功能的交付速度。
企業(yè)開始使用DevOps實踐,將軟件移向云端。我們看到這是大多數(shù)公司重要變革的推動力。隨著DevOps文化和CI / CD工具鏈與云部署相交,我們在考慮軟件安全性時意識到這是一個改變行業(yè)格局的進展。
在這些技術和策略發(fā)展的早期階段,仍有不確定因素,我們尚未完全理解其影響。BSIMM即將到來的新版本肯定會為企業(yè)從DevOps遷移到DevSecOps提供更多見解,并指點其云部署。