10月26日消息,新思科技公司发布了其最新版本的软件安全构建成熟度模型——BSIMM9。针对BSIMM,新思科技高级安全架构师杨国梁指出,BSIMM属于一个测量和评估软件安全计划工具,帮助企业持续构建安全的、高质量的软件,在提升研发速度和生产力的同时降低风险。到目前为止,BSIMM已评估了全世界一百六十余家公司,并作为衡量软件安全程度的一个标尺被广泛采用。
软件安全远不止一组安全功能
随后,新思科技软件质量与安全部门管理顾问OlliJarva,进一步介绍BSIMM第9个版本。他表示:“人们通常对软件安全的理解就是加密、防护之类的一些安全功能。其实,要达到软件安全远不止这些,更不要指望说有一些什么功能,能够一蹴而就的解决所有问题,这些都是需要后期的投入,才能把整个事情真正运行下来。另外,我们这里说到的软件设计和非功能性方面同样至关重要,软件安全不光是指在维护方面,比如说雇佣白帽黑客来做一些测试或者设置防火墙等方式。事实上,在前期软件设计时也会出现大量的问题,我们将它称为漏洞或缺陷。所谓漏洞就是在写代码时可能埋进去的一些BUG以及在软件设计时出现的逻辑错误,这里大概是50/50的占比。所以说,不能完全指望说测试工具,或者一些第三方机构来解决这些设计类的问题,还是需要通过架构分析、建模等方式,在前期就协助做好软件设计规划,才能够很好地规避以上问题。如果要就生成一个高质量的软件,目前比较推荐的一个方法,就是必须要把这些安全性的考量都深度融入到整个安全开发生命周期模型中,就是说所谓的SDLC。”
BSIMM与市面上其他评估工具有什么不同?
在谈到BSIMM与市面上其他评估工具的不同点时,OlliJarva表示:“安全开发生命周期模型分为了两个方向,一个叫做规定性模型,另外一个叫做描述性模型。规定性模型往往会告诉你,应该怎么做才是一个对的方法,像SAFECode、SAMM、SDL、Touchpoints这些都是属于这个规定性模型,属于方法论。描述性模型与规定性模型最大的区别就在于,描述性模型不是方法论而是一个评估工具,像BSIMM就是通过数据做事实的陈述。”
OlliJarva以猴子吃香蕉的案例,详细阐述了BSIMM是一个什么样的工具。他说:“由于BSIMM是一个描述性模型,不是一个指导性模型,所以它不会说哪种吃法是好的,哪种吃法是对的。BSIMM完全是基于猴子在吃香蕉的过程中,看到了什么就记录下什么。所以吃香蕉可能有很多种吃法,但是吃的过程都可以被BSIMM记录或者评估出来的。”
BSIMM软件安全评估标准
对于BSIMM的安全评估标准,OlliJarva指出:“从年第一版BSIMM发布开始,目前十年下来,我们已经评估了家公司在开展软件计划上面的真实的一些数据,而BSIMM9里面有家公司参与,那么为什么不是所有的家公司参与呢?事实上,为了让我们的数据模型能够更好地符合当前的这个安全趋势,我们引入了数据新鲜度的概念。当某个公司超过36个月没有被评估的时候,我们就会把它给移除出去。对于BSIMM9,我们增加了22家公司并剔除了11家公司,从而形成了由家企业构成的数据池。其中,参与BSIMM9调研的家企业分别来自金融服务业、独立软件供应商、技术行业、医疗保健行业、云计算行业、物联网行业、保险行业以及零售行业等具有代表性的垂直行业。值得一提的是,在这个公司里面,有42家起码做过两次或者两次以上的评估。从一个纵向的时间轴上对比来看,我们就可以明显看出开展了多次评估的公司,他们在软件信息安全的开发流程上面,有明显的进步。”
新思科技管理顾问OlliJarva
BSIMM的背景
随后,OlliJarva介绍了BSIMM的背景,他说:“BSIMM创建于年,当时,市面上却并没有一个描述性模型,来告诉所有的这些公司,他们的信息安全是处于一个什么样的状态。所以,我们在对九家信息安全做的比较好的大型知名企业,进行了一些面对面的访谈之后,构建出来了一个成熟的模型。这个模型是由一个支撑BSIMM的基础结构的软件安全框架构成,其由划分为4个领域的12项实践模块组成。并且,安全框架包括项安全事件,这项安全事件又被分成3个不同的等级。基于这个个事件,我们构建了一个评分表,再把这个评分表映射到框架,我们就可以对这些公司开展信息安全活动的等级做评估。”
参与BSIMM评估的机构数量不断增加
OlliJarva表示:“当我们收集到多于30家企业的数据时,就有了一定的代表性,我们可以对这些企业的真实数据做一些统计和分析,这些统计的分析它什么目的呢?首先,我们想知道我们设计出来的BSIMM模型,它框架它是不是一个好的框架?其次,有一些安全活动和另外一些安全活动,它都不是独立存在的。那么,这些活动和另外一些活动,他们之间是不是有一定的关联性。再就是说,对于我们评估出来得分高的这些企业,他们是否在开展软件安全计划这方面有一些共性可以给大家共享出来。目前,我们从BSIMM第二个版本一直演进到第九个版本,从20家企业逐渐增加到家企业,从全球的范围来看,大家对于加入BSIMM社区的热情是逐渐提高的。”
BSIMM9有何新发现?
在谈到BSIMM9与BSIMM8有哪些不同时,OlliJarva指出:“随着数字化转型,企业正在将其工作负载和开发流程迁移到云端,这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外,在独立软件供应商、物联网公司和云计算公司观察到的多种活动已开始融合,这表明通用云架构需要类似的软件安全方法。近几年电子商务模式的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。所以,此次BSIMM9数据中纳入了零售业。此外,随着BSIMM的参与企业不断在增加,从BSIMM8收集的数据来自家公司,到BSIMM9已增加到家公司。它所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。”
新思科技高级安全架构师杨国梁
BSIMM9参与企业
据OlliJarva介绍,家参与BSIMM9项目的企业已经从事软件安全活动4.13年。所有这家企业一致认为,其计划的成功主要依赖于SSG,即专门负责软件安全工作的内部团队。SSG平均规模为13.3人,同时还成立了一个外围小组,其由开发人员、架构师以及组织机构中直接参与和推动软件安全工作的人员构成,平均52.4人。在参与本项目的企业中,其开发人员平均数量为3,人,因此,SSG与开发团队之间的比例为1.33%。总之,BSIMM描述了1,名SSG成员与6,名外围人员共同开展工作的情况,他们保护了由,名开发人员所开发的软件,而这些软件被用于,套应用所构成的产品组合中。
BSIMM9为我们揭示了什么?
OlliJarva指出:“BSIMM最重要的用途是作为一个标尺,来确定你目前采用的方法相对于其他企业处于何种位置。你只需要搞清楚自己已经开展了哪些活动,然后在轮廓中找到这些活动,然后确定它们的级别,最后再构建记分卡。针对全部项活动开展直接比较也许是BSIMM最显而易见的用途。通过提供来自实地的实际评估数据,BSIMM能够让企业针对软件安全计划(SSI)做出长期规划,并根据该规划来跟踪进展情况。
另外,在我们自己采用BSIMM来评估各种软件安全计划的工作中,我们发现,制作可生成高水位标记方法的蛛网图,将足以大致了解成熟度,尤其是在利用特定垂直行业的数据时。一项有意义的比较是,画出你自己企业的高水位标记,然后与我们发布的平均值进行比较,看看您的企业相比之下到底如何。”
BSSIM社区
OlliJarva透露:“参与BSIMM的家企业共同组成了BSIMM社区。这个拥有将近名成员的专属在线社区平台给软件安全人员提供了一个论坛,大家可以在此与其他面临同样问题的人一起探讨解决之道,在其他已经成功解决了某个难题的人员一起优化战略,从职业生涯历史更长的人那里寻求指导,或者群策群力解决难题。社区成员还可以参加专门为他们开设的专题网络研讨会以及获取其他辅导内容。BSIMM社区还组织召开年度专属会议,由各企业代表聚集在一起参加非公开论坛,共同讨论软件安全计划。”
写在最后
针对天极网提出的:“在对企业的真实数据做一些统计和分析时,新思科技将如何把握数据与信息安全之间的平衡?”
新思科技高级安全架构师杨国梁回答说:“我们在做评估的时候,是一个为期1周的与被评估公司面对面交流的形式,所以,这里面完全不会涉及到其他公司的评估问题。我们需要做的,是对公司开展的信息安全活动的每一项得分情况评估出来就可以了。当然,企业数据我们是对外保密的。”