從安全“左移”到“無處不移”

近日，新思科技宣布發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM11。BSIMM11其中一個(gè)重要發(fā)現(xiàn)是：安全“左移”變?yōu)椤盁o處不移”。盡管在開發(fā)過程中開展一些安全測(cè)試推動(dòng)了左移的發(fā)展，但我們的目標(biāo)遠(yuǎn)遠(yuǎn)不止于此。那些試圖維護(hù)準(zhǔn)確的軟件清單數(shù)據(jù)的企業(yè)發(fā)現(xiàn)，他們需要在源代碼內(nèi)容管理、構(gòu)建過程、部署過程和運(yùn)維環(huán)境間協(xié)調(diào)工作。原因是清單的詳細(xì)度和內(nèi)容可能因視角而不同，并且頻繁變化。這些企業(yè)不僅需要努力維護(hù)現(xiàn)有庫存工作的有效性，同時(shí)還要適應(yīng)響應(yīng)工程技術(shù)自助服務(wù)趨勢(shì)和數(shù)字化轉(zhuǎn)型發(fā)生的變化的新的軟件生命周期、軟件架構(gòu)變化以及任何底層軟件、部署和云技術(shù)變化，以響應(yīng)工程技術(shù)自助服務(wù)趨勢(shì)和數(shù)字化轉(zhuǎn)型帶來的巨變。

BSIMM旨在幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動(dòng)，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對(duì)超過49萬名開發(fā)人員有指導(dǎo)作用。

BSIMM是企業(yè)衡量軟件安全的標(biāo)尺，他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。 BSIMM11表明，云服務(wù)器租用服務(wù)器托管，許多企業(yè)正在調(diào)整其軟件安全計(jì)劃，以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

美國(guó)海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員，其首席信息安全官 Mike Newborn表示：“對(duì)于有興趣學(xué)習(xí)同行經(jīng)驗(yàn)，尤其是如何解決新的或正在涌現(xiàn)的挑戰(zhàn)的安全領(lǐng)導(dǎo)者而言，BSIMM提供豐富的資源。如今，大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn)：一方面需要加速軟件開發(fā)和推出市場(chǎng)；另一方面又要確保日益增多的軟件應(yīng)用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調(diào)整其軟件安全策略，在持續(xù)創(chuàng)新或保障開發(fā)速度的同時(shí)保護(hù)自己和客戶的軟件應(yīng)用安全?！?/p>

BSIMM11報(bào)告發(fā)現(xiàn)的新趨勢(shì)包括：

●工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的 DevOps 價(jià)值流貢獻(xiàn)力量。BSIMM11表明，持續(xù)集成和持續(xù)交付(CI/CD)工具和運(yùn)維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作，并且正在影響SSI的組織、設(shè)計(jì)和執(zhí)行方式。例如，軟件安全團(tuán)隊(duì)越來越多地向技術(shù)小組或首席技術(shù)官匯報(bào)工作（而不是IT安全團(tuán)隊(duì)或首席信息安全官），并且正在改變內(nèi)部招募和組織人才的方式。

●軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動(dòng)化活動(dòng)替代一些摩擦性高的帶外（out-of-band）數(shù)據(jù)安全活動(dòng)。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

●安全“左移”變?yōu)椤盁o處不移”?！白笠啤备拍畹膶?shí)現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測(cè)試的字面解釋演變?yōu)樵谟写龣z查的工件可用時(shí)立即執(zhí)行安全活動(dòng)。這可能意味著在過去我們認(rèn)為在左側(cè)（較早期）的安全測(cè)試現(xiàn)在大多數(shù)情況下可能是在右側(cè)（偏后期，包括生產(chǎn)階段）。

●在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。在仔細(xì)審查了金融行業(yè)中不斷增長(zhǎng)的公司數(shù)據(jù)池后，很明顯，有必要添加一個(gè)專門面向金融服務(wù)的ISV單獨(dú)的垂直行業(yè)。

新思科技高級(jí)技術(shù)總監(jiān)兼BSIMM報(bào)告聯(lián)合作者M(jìn)ichael Ware表示：“在過去的幾年中，現(xiàn)代軟件的構(gòu)建和部署方式有了巨大改變，因此，為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴軟件，現(xiàn)代方法論加快了開發(fā)速度。因此，軟件的數(shù)量不斷在攀升，我們也仍然需要擔(dān)心先前開發(fā)的軟件是否有風(fēng)險(xiǎn)。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型，它代表著全球數(shù)百個(gè)軟件安全企業(yè)，包括一些全球的團(tuán)隊(duì)，正在采取的舉措，免備案主機(jī)，提供了近乎實(shí)時(shí)的行業(yè)實(shí)踐，了解如何實(shí)施新舉措以保護(hù)不斷增加的軟件產(chǎn)品組合。”

BSIMM中新的活動(dòng)代表著向DevSecOps的轉(zhuǎn)變

在過去的一年中，添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長(zhǎng)（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營(yíng)基礎(chǔ)運(yùn)維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應(yīng)軟件交付的速度。此外，BSIMM11中添加的兩個(gè)活動(dòng)顯示了這一趨勢(shì)在延續(xù)（ST3.6 自動(dòng)實(shí)施事件驅(qū)動(dòng)的安全性測(cè)試，CMVM3.6 發(fā)布可部署工件的風(fēng)險(xiǎn)數(shù)據(jù)）。

不同行業(yè)中BSIMM的應(yīng)用

BSIMM提供了以數(shù)據(jù)為依據(jù)的獨(dú)特見解，以了解和比較各個(gè)行業(yè)中軟件安全計(jì)劃的相對(duì)優(yōu)勢(shì)和劣勢(shì)。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè)。BSIMM11還強(qiáng)調(diào)了三個(gè)受到高度監(jiān)管的行業(yè)之間的差異：金融服務(wù)、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊(duì)，因此，與醫(yī)療保健和保險(xiǎn)行業(yè)相比，擁有更為成熟的軟件安全實(shí)踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓(xùn)、安全測(cè)試和代碼審查實(shí)踐中。

網(wǎng)站名稱：從安全“左移”到“無處不移”
本文路徑：http://www.muchs.cn/news7/267857.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、定制網(wǎng)站、服務(wù)器托管、網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)