拒绝“新瓶装旧酒”，新思科技BSIMM11强调DevOps和数字化转型下软件安全计划的根本转变

在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长（SM3.4 集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性）。

2020年全球及中国安全数字化转型发展正面临新机遇与挑战，狄更斯的《双城记》里开篇的第一句话：“这是一个最美好的时代，也是一个最糟糕的时代”，放到当今的数字化时代，依然有非常深刻的警醒作用。 “最美好、最糟糕”之间往往只差了一个“安全”。万物物联时代，构建安全优质的软件比以往任何时候都更具挑战性。

要想通过协调一致的方式灌输、测量、管理和改善软件安全活动，就需要执行软件安全计划 （SSI）。还必须确保 SSI 与软件的动态开发环境保持同步，其中包括开发方法、DevOps 文化、部署环境、监管要求、供应链、软件发布周期等等。

要做到这一点，需要了解 SSI 的现状，以及用于创建改进策略和确定 SSI 更改优先级的数据。目前，针对软件安全性问题的解决方案有很多。大体分为两大类，一种是以微软SDL为代表的“指导性”模型。一种是新思科技BSIMM（软件安全构建成熟度模型）“描述性”模型。

作为一种描述性模型，BSIMM 唯一的目标就是观察和报告。

从 2008 年第一版开始，BSIMM 的版本迭代就一直由新思科技 (Synopsys) 和 BSIMM 社区双方协力完成。其中，新思科技主要负责企业的调研、数据采集工作；BSIMM 社区则基于 BSIMM 首版形成的软件安全框架 (SSF）和企业打分情况，对 BSIMM 活动进行更新，并从行业视角，形成对软件安全计划 (SSI) 实施情况的最新洞见。

BSIMM11反应了观察到的130家公司的软件安全活动，覆盖多个垂直行业

BSIMM模型发展至今已经有了11年的历史，新思科技在今年11月11日宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。BSIMM11描述了8,457名软件安全专家的工作成果，这些成果对超过49万名开发人员有指导作用。

最新

发布

BSIMM11报告聚焦的新趋势

BSIMM11报告发现的新趋势主要包括工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量；此外在仔细审查了金融行业中不断增长的公司数据池后，首次归纳金融科技行业的数据。具体如下：

工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量

BSIMM模型经过11年的发展，其数据池已从最初的9家增加到BSIMM11如今的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等，对于行业情况的反应越来越全面。

在整个BSIMM中新的活动代表着向DevSecOps的转变。在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长（SM3.4 集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性）。这反映了一些企业如何积极加速软件安全工作，以适应软件交付的速度。此外，BSIMM11中添加的两个活动显示了这一趋势在延续（ST3.6 自动实施事件驱动的安全性测试，CMVM3.6 发布可部署工件的风险数据）。

BSIMM11表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例。

首次归纳金融科技行业的数据

BSIMM在仔细审查了金融行业中不断增长的公司数据池后，很明显，有必要添加一个专门面向金融服务的ISV单独的垂直行业，主要的差异（有利于金融科技）体现在培训、安全测试和代码审查实践中。

Synopsys

事实上，自2008年以来，新思科技大概对共计211家企业展开过约500次以上的BSIMM测评，但BSIMM11版本里仅显示130家企业。对此，新思科技软件质量与安全部门高级安全架构师杨国梁表示，这是BSIMM非常注重数据的“新鲜度”。新思科技会剔除一些未持续进行评估的公司于其数据池。因为新版本的出现使过去版本的录入数据已不具备代表性。同时，新思科技也会根据市场动态增加或删除进行参考和统计的安全活动。杨国梁曾在科诺康(Codenomicon)出任安全工程师,帮助客户发现和修复其基于软件的产品和系统的关键

在BSIMM11报告中，提出企业需要明确的软件安全方案来聚焦工作。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。全“左移”变为“无处不移”。

“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧（较早期）的安全测试现在大多数情况下可能是在右侧（偏后期，包括生产阶段）。

结语

安全软件计划与其开发生命周期需深度集成

如今，大多数企业都面临着这样的挑战：一方面需要加速软件开发和推出市场；另一方面又要确保日益增多的软件应用的安全。安全不应是在终末被叠加的辅助性功能，而应蕴于整个系统的天然特质。因此要想获得安全的软件，必须与软件开发生命周期进行深度集成。

新思科技高级技术总监兼BSIMM报告联合作者Michael Ware曾表示：“在过去的几年中，现代软件的构建和部署方式有了巨大改变，因此，为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件，现代方法论加快了开发速度。因此，软件的数量不断在攀升，我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型，它代表着全球数百个软件安全企业，包括一些全球领先的团队，正在采取的举措，提供了近乎实时的行业实践，了解如何实施新举措以保护不断增加的软件产品组合。”

BSIMM 模型及社区对企业评估自身的软件安全实践、判断行业所处位置、以及明确软件安全工作的可能的趋势和思路，具有丰富、实际的借鉴意义。新思科技在软件质量与安全的积累，以及其对中文软件安全社区的倍加关注，期待BSIMM持续为更多企业的软件安全工作，提供实质性的帮助与支持。