新思科技發(fā)布BSIMM12報告：安全活動反映出企業(yè)云化趨勢明顯加速

11月15日消息（岳明）新思科技軟件安全構建成熟度模型（BSIMM）在近日迎來了第12個版本的發(fā)布，這一旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃（SSI）的模型，并非針對安全性的指導性模型，而是通過匯總對數百家企業(yè)軟件安全真實實踐的觀察結果，為全球企業(yè)提供了一把衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數據進行比較。

數據新鮮度至關重要

據悉，BSIMM12反映了觀察到的128家公司的軟件安全實踐，覆蓋多個垂直行業(yè)，包括金融服務、金融科技、獨立軟件供應商（ISV）、云、醫(yī)療保健、物聯(lián)網等。每一個版本的BSIMM模型都會為了保持數據的“新鮮度”而進行報告內企業(yè)的刪減和增加，從而準確放映最新的市場軟件安全趨勢。

“如果有企業(yè)超過42個月沒有進行BSIMM評估，我們就會將其從我們的數據池中進行剔除。”新思科技軟件質量與安全部門高級安全架構師楊國梁在BSIMM12發(fā)布媒體溝通上表示。“因為三年是一個比較大的時間跨度，足夠一家企業(yè)經歷一輪安全的演變，如果這么長時間沒有進行BSIMM評估，那么它的數據就不再具備代表性。”

C114注意到，最新一版BSIMM報告中的重點發(fā)現(xiàn)之一是采用應用容器來支持安全目標的活動增加了214%，對容器和虛擬化環(huán)境使用編排功能的活動增加了560%，而由此清晰反映出企業(yè)云化趨勢的加速。

BSIMM12報告最新趨勢

除此外，BSIMM12報告發(fā)現(xiàn)的新趨勢包括：

·影響廣泛的勒索軟件和軟件供應鏈中斷促使人們更加關注軟件安全。 BSIMM 數據顯示，在過去兩年中，參與評估的企業(yè)中，進行“識別開源代碼”活動增加了 61%，“創(chuàng)建 SLA 樣板文件”活動增加了 57%。

·企業(yè)開始學習如何將風險轉化為數據。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計劃數據。過去 24 個月“在內部發(fā)布有關軟件安全的數據”活動增加了 30%，證明了這一點。

·增強的云安全功能。 管理層的日益關注，再加上工程化的驅動，使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評估他們的責任共擔模型。過去兩年中，與云安全相關的活動平均有36次新觀察結果。

·安全團隊正在借調資源、人員和知識用于DevSecOps活動。BSIMM 數據顯示，軟件安全團隊正在從強制性的軟件安全行為朝著合作伙伴角色轉移——為 DevOps 實踐提供資源、人員和知識，目的是將安全工作納入軟件交付的關鍵路徑。

·軟件物料清單活動增加了 367%。BSIMM 數據顯示專注于以下內容的能力有所增加，包括軟件物料清單的功能； 創(chuàng)建軟件物料清單 (BOM)； 了解軟件是如何構建、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力。數據證明許多企業(yè)已經重視對全面、最新的軟件 BOM 的需求，與這些功能相關的 BSIMM 活動（“通過運維物料清單來增強應用程序庫存盤點”）在過去兩年從3次增加到14次，增長了367%。

·安全“左移”變?yōu)?ldquo;無處不移”。 “左移”的概念側重于在開發(fā)過程中更早地進行安全測試。 “無處不移”將安全測試擴展到在整個軟件生命周期中持續(xù)進行，包括盡早進行更小、更快、管道驅動的安全測試，這可能是在設計階段，甚至在生產階段。

從維護傳統(tǒng)的運營庫存轉向自動化資產發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無處不移”活動，例如使用容器來強制實施安全控制、編排和掃描基礎設施即代碼。 BSIMM 觀察到更多活動，諸如“通過運維物料清單來增強應用程序庫存盤點”、“對容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動化資產創(chuàng)建”等活動，都證明了上述趨勢。

適用所有行業(yè)

自2008年以來，新思科技共對231家企業(yè)開展了約550次BSIMM測試，這其中涵蓋多個垂直行業(yè)。而楊國梁向我們表示，BSIMM測試并不挑行業(yè)，任何企業(yè)都能從中獲得有用信息。

“不同的行業(yè)在軟件安全這件事情上做的還是有區(qū)別的，比如說金融這種強監(jiān)管類的行業(yè)，它的這種合規(guī)流程制定可能就比較強，像高科技物聯(lián)網云廠商，它對于實施環(huán)境上的一些漏洞管理、安全測試可能要求就會更高一點。不同的行業(yè)會有一些不同的側重點，所以并不是說一個企業(yè)要把整個模型里面所有的活動都要兼顧到，而是說在你這個行業(yè)選擇適合你的活動，量力而行就好了。”他談到。

點擊下載BSIMM12報告。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。