新思科技发布软件安全构建成熟度模型第11个版本

自2008年起，新思科技的软件安全构建成熟度模型(BSIMM)就作为评估各种类型和规模的组织的有效工具，包括全球一些先进的安全团队正采用其软件安全策略。最新的BSIMM数据反映了有多少家组织正调整其方法来应对现代开发和部署实践的新动态，比如缩短发布周期、增加自动化的使用和软件定义的基础架构。

近日，新思科技宣布发布BSIMM11报告。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8,457名软件安全专家的工作成果，这些成果对超过49万名开发人员有指导作用。

BSIMM是企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例。

美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员，其首席信息安全官 Mike Newborn表示：“对于有兴趣学习同行经验，尤其是如何解决新的或正在涌现的挑战的安全领导者而言，BSIMM提供丰富的资源。如今，大多数企业都面临着这样的挑战：一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略，在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”

BSIMM11报告发现的新趋势包括：

· 工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量。BSIMM11表明，持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作(而不是IT安全团队或首席信息安全官)，并且正在改变内部招募和组织人才的方式。

· 软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外(out-of-band)数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

· 安全“左移”变为“无处不移”。“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧(较早期)的安全测试现在大多数情况下可能是在右侧(偏后期，包括生产阶段)。

· 在BSIMM里引入金融科技垂直行业的数据。在仔细审查了金融行业中不断增长的公司数据池后，很明显，有必要添加一个专门面向金融服务的ISV单独的垂直行业。

新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示：“在过去的几年中，现代软件的构建和部署方式有了巨大改变，因此，为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件，现代方法论加快了开发速度。因此，软件的数量不断在攀升，我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型，它代表着全球数百个软件安全企业，包括一些全球领先的团队，正在采取的举措，提供了近乎实时的行业实践，了解如何实施新举措以保护不断增加的软件产品组合。”

BSIMM中新的活动代表着向DevSecOps的转变

在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4 集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作，以适应软件交付的速度。此外，BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6 自动实施事件驱动的安全性测试，CMVM3.6 发布可部署工件的风险数据)。

不同行业中BSIMM的应用

BSIMM提供了以数据为依据的独特见解，以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异：金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队，因此，与医疗保健和保险行业相比，拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据，并发现它与金融服务的追踪非常接近，主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。