新思科技發(fā)布BSIMM12報(bào)告：安全活動(dòng)反映出企業(yè)云化趨勢明顯加速

11月15日消息（岳明）新思科技軟件安全構(gòu)建成熟度模型（BSIMM）在近日迎來了第12個(gè)版本的發(fā)布，這一旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計(jì)劃（SSI）的模型，并非針對安全性的指導(dǎo)性模型，而是通過匯總對數(shù)百家企業(yè)軟件安全真實(shí)實(shí)踐的觀察結(jié)果，為全球企業(yè)提供了一把衡量軟件安全的標(biāo)尺，他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。

數(shù)據(jù)新鮮度至關(guān)重要

據(jù)悉，BSIMM12反映了觀察到的128家公司的軟件安全實(shí)踐，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商（ISV）、云、醫(yī)療保健、物聯(lián)網(wǎng)等。每一個(gè)版本的BSIMM模型都會(huì)為了保持?jǐn)?shù)據(jù)的“新鮮度”而進(jìn)行報(bào)告內(nèi)企業(yè)的刪減和增加，從而準(zhǔn)確放映最新的市場軟件安全趨勢。

“如果有企業(yè)超過42個(gè)月沒有進(jìn)行BSIMM評估，我們就會(huì)將其從我們的數(shù)據(jù)池中進(jìn)行剔除。”新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁在BSIMM12發(fā)布媒體溝通上表示。“因?yàn)槿晔且粋€(gè)比較大的時(shí)間跨度，足夠一家企業(yè)經(jīng)歷一輪安全的演變，如果這么長時(shí)間沒有進(jìn)行BSIMM評估，那么它的數(shù)據(jù)就不再具備代表性。”

C114注意到，最新一版BSIMM報(bào)告中的重點(diǎn)發(fā)現(xiàn)之一是采用應(yīng)用容器來支持安全目標(biāo)的活動(dòng)增加了214%，對容器和虛擬化環(huán)境使用編排功能的活動(dòng)增加了560%，而由此清晰反映出企業(yè)云化趨勢的加速。

BSIMM12報(bào)告最新趨勢

除此外，BSIMM12報(bào)告發(fā)現(xiàn)的新趨勢包括：

·影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使人們更加關(guān)注軟件安全。 BSIMM 數(shù)據(jù)顯示，在過去兩年中，參與評估的企業(yè)中，進(jìn)行“識別開源代碼”活動(dòng)增加了 61%，“創(chuàng)建 SLA 樣板文件”活動(dòng)增加了 57%。

·企業(yè)開始學(xué)習(xí)如何將風(fēng)險(xiǎn)轉(zhuǎn)化為數(shù)據(jù)。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計(jì)劃數(shù)據(jù)。過去 24 個(gè)月“在內(nèi)部發(fā)布有關(guān)軟件安全的數(shù)據(jù)”活動(dòng)增加了 30%，證明了這一點(diǎn)。

·增強(qiáng)的云安全功能。 管理層的日益關(guān)注，再加上工程化的驅(qū)動(dòng)，使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評估他們的責(zé)任共擔(dān)模型。過去兩年中，與云安全相關(guān)的活動(dòng)平均有36次新觀察結(jié)果。

·安全團(tuán)隊(duì)正在借調(diào)資源、人員和知識用于DevSecOps活動(dòng)。BSIMM 數(shù)據(jù)顯示，軟件安全團(tuán)隊(duì)正在從強(qiáng)制性的軟件安全行為朝著合作伙伴角色轉(zhuǎn)移——為 DevOps 實(shí)踐提供資源、人員和知識，目的是將安全工作納入軟件交付的關(guān)鍵路徑。

·軟件物料清單活動(dòng)增加了 367%。BSIMM 數(shù)據(jù)顯示專注于以下內(nèi)容的能力有所增加，包括軟件物料清單的功能； 創(chuàng)建軟件物料清單 (BOM)； 了解軟件是如何構(gòu)建、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力。數(shù)據(jù)證明許多企業(yè)已經(jīng)重視對全面、最新的軟件 BOM 的需求，與這些功能相關(guān)的 BSIMM 活動(dòng)（“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫存盤點(diǎn)”）在過去兩年從3次增加到14次，增長了367%。

·安全“左移”變?yōu)?ldquo;無處不移”。 “左移”的概念側(cè)重于在開發(fā)過程中更早地進(jìn)行安全測試。 “無處不移”將安全測試擴(kuò)展到在整個(gè)軟件生命周期中持續(xù)進(jìn)行，包括盡早進(jìn)行更小、更快、管道驅(qū)動(dòng)的安全測試，這可能是在設(shè)計(jì)階段，甚至在生產(chǎn)階段。

從維護(hù)傳統(tǒng)的運(yùn)營庫存轉(zhuǎn)向自動(dòng)化資產(chǎn)發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無處不移”活動(dòng)，例如使用容器來強(qiáng)制實(shí)施安全控制、編排和掃描基礎(chǔ)設(shè)施即代碼。 BSIMM 觀察到更多活動(dòng)，諸如“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫存盤點(diǎn)”、“對容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建”等活動(dòng)，都證明了上述趨勢。

適用所有行業(yè)

自2008年以來，新思科技共對231家企業(yè)開展了約550次BSIMM測試，這其中涵蓋多個(gè)垂直行業(yè)。而楊國梁向我們表示，BSIMM測試并不挑行業(yè)，任何企業(yè)都能從中獲得有用信息。

“不同的行業(yè)在軟件安全這件事情上做的還是有區(qū)別的，比如說金融這種強(qiáng)監(jiān)管類的行業(yè)，它的這種合規(guī)流程制定可能就比較強(qiáng)，像高科技物聯(lián)網(wǎng)云廠商，它對于實(shí)施環(huán)境上的一些漏洞管理、安全測試可能要求就會(huì)更高一點(diǎn)。不同的行業(yè)會(huì)有一些不同的側(cè)重點(diǎn)，所以并不是說一個(gè)企業(yè)要把整個(gè)模型里面所有的活動(dòng)都要兼顧到，而是說在你這個(gè)行業(yè)選擇適合你的活動(dòng)，量力而行就好了。”他談到。

點(diǎn)擊下載BSIMM12報(bào)告。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。