【赛迪网讯】软件定义是目前数字化时代的一大热词,软件不仅让数字化成为可能,并深刻改变了生产流程和方式。在党的二十大报告中也提出,要推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。而要实现这些宏伟目标,离不开软件的赋能。但同时,也因为软件深度参与了企业的管理和生产,掌握了众多核心数据,也让软件安全备受重视。
近日,新思科技中国区软件应用安全业务总监杨国梁接受了赛迪网的采访,并且解读了新思科技最新发布的软件安全构建成熟度模型(BSIMM)分析报告,评估了软件从设计、构建、发布最后到运营的全过程,其安全性的特点。
什么是BSIMM?
软件既是制造强国、网络强国、数字中国建设的关键支撑,也是一家企业系统、业务能够安全、可靠运行的根本。新思科技从2008年以来已累计发布十三个软件安全构建成熟度模型(BSIMM)版本。主要通过和微软、谷歌等等公司进行访谈,得出大致的框架,了解这些领先企业是如何保证软件安全。在后来的运作中,随着访谈的面越来越大,涉及范围越来越广,迄今为止已经积累了数百家企业的真实的数据实践。
BSIMM本身是一个依靠大量数据实践累积起来的描述性模型,有别于其他类似CMMI的一些指导性模型,它不会直接告诉企业应该如何做,应该如何改进,而是一个纯粹的观测性、描述性的模型,会大量统计其他企业都在做什么、做得最多的活动是什么、做得次多的是什么、做得较少的是什么,然后通过活动出现的频率来对其进行定级。并且,BSIMM是一个完全免费开放的标准,任何人都可以免费获得每年最新的BSIMM报告,其涉及的范围也足够广,在各行各业尤其是高科技类的行业有广泛的积累。
据介绍,在第十三版的BSIMM报告中一共汇集了130家企业的相关数据。从2008年以来,新思科技一共评估过254家公司。在130家公司中,75%来自北美,另外的12%和13%分别来自亚太和欧洲、中东、非洲。行业范围涵盖医疗健康、金融科技、保险、科技、物联网、云计算、独立软件制造商等。
之所以最新报告的企业数不足254家是因为BSIMM报告是实时动态更新的,新思科技会把超过36个月没有做最新评估的公司的评估结果从最新年度的报告数据池中移除出去。这样方能确保在每一年发布的报告中都是最近三年软件安全活动的最实时数据统计,保证数据最具有参考性。
BSIMM四大趋势
趋势一:无处不移
过去几年我们一直在讲安全左移,希望把软件的安全修复点尽量在往开发的早期阶段迁移。其原因不言而喻,任何软件的安全漏洞在早期修补的总成本肯定是更低。事实也证明,在这几年中,安全左移的趋势已经被大多数企业所贯彻了。
现在安全左移正在演变成无处不移。不再仅是在软件开发生命周期(SDLC)越早部署安全越好;而是在合适的时间进行恰当的、特定于上下文的测试,这可能在SDLC中非常靠后的阶段。
趋势二:安全集成到开发人员的工具链中
在现阶段,安全活动已经不仅仅是安全部门的事情,开发部门已经逐渐地接受了这些安全活动融入到其开发全过程中,并且在其开发的工具链上的每一个节点进行了多个上下文的检查,在每一个可能进行的阶段尽早地实施安全检查。
趋势三:软件供应链风险管理兴起
近年来,软件供应链受重视程度已经在企业中越来越突飞猛进。现阶段,开源组件是构成软件的重要组成部分,在某些行业甚至高达80%乃至90%的代码都是由开源构成。但软件供应链风险并不仅仅局限于开源管理,同样可能因为供应链的商务关系而产生风险。而企业要减少供应链风险的手段通常是把供应链的信息都输出到一个软件物料清单(SBOM)当中,以固定的格式来进行SBOM的输入和输出,这将会是近几年或者将来很重要的一个趋势。
趋势四:将软件安全扩展到应用程序和产品之外
在进行数字化转型之前,软件安全部门必须把公司内的各个环节,合规部门、开发部门、测试部门等等,它的利益相关者全部都串起来,建立相应的桥梁。但在过去,这些沟通桥梁的数量受到人员和时间的限制。而现在软件安全小组(SSG)则把潜在的所有的问题,无论是运维阶段还是开发阶段的潜在安全问题全部都串联在一起进行考虑。
BSIMM评估的意义就在于通过大量的分析给与企业软件安全建设的参考,以帮助企业在软件安全管理、建设上更有条理性,更合理地投入资源来开展软件安全计划。这也正是新思科技每年更新BSIMM报告的原因。在每一年的报告中,新思科技可以提供计分卡,企业在实施自己的软件安全计划时可以不断对比最新的BSIMM报告和新的计分卡,和上一次的计分卡进行对照,了解自己的工作进度。
在软件定义时代,软件安全关乎企业的生命。不仅企业在面对软件安全时越来越重视,中国的软件安全产业发展也用最短的时间走过了欧美等发达国家、地区更长时间走过的历程,法律法规也日益完善。新思科技汇聚大量企业软件安全的数据,以数据驱动的方式给企业软件安全计划提供参考,完美诠释了“他山之石,可以攻玉”的道理。