軟件安全與否需要一把標尺，BSIMM讓企業(yè)“知己知彼、百戰(zhàn)不殆”

根據 Risk Based Security 的報告，今年上半年業(yè)界發(fā)布了 10,644 個漏洞，超過 2017 年同期的 9,690 個漏洞，其中有近 17％屬于高危級別的嚴重漏洞，企業(yè)和個人面臨的安全威脅與日俱增。因此，軟件安全成為所有軟件公司關注的重中之重。而且大多數認識到軟件安全性的企業(yè)都對如下方面的不確定性困惑不已：到底應該進行什么程度和類型的投資？我們是否把投資優(yōu)先用于正確領域了？我們是否使用了足夠的技術？技術是否過多了？許多早期領導者將自己的職業(yè)成功押注在如何做出正確的選擇，于是，他們特別想知道，從該領域以及從他們的職業(yè)生涯兩個方面看，未來到底會怎么發(fā)展？

市面上有很多提高軟件安全性的解決方案，它們給出了明確的改進建議，但是每款軟件所適用的領域、定義的功能都不相同，它們需要一個框架性的指導方案，某一個改進方案并不能解決它們的實際問題，于是十年前新思科技開始構建軟件安全構建成熟度模型（簡稱 BSIMM），旨在幫助組織機構更有效地實施軟件安全性的技術。

新思科技軟件質量與安全部門管理顧問 Olli Jarva

新思科技軟件質量與安全部門管理顧問 Olli Jarva 介紹，“BSIMM 是一項關于軟件安全計劃的研究。通過量化多家不同企業(yè)的實踐，我們得以發(fā)現許多企業(yè)的共同點以及彰顯個性的不同之處。我們旨在幫助更廣大的軟件安全社區(qū)規(guī)劃、實施和評估他們自己的計劃。”

BSIMM 讓企業(yè) “知己知彼、百戰(zhàn)不殆”
在 2008 年，新思科技開始構建 BSIMM 初期，軟件安全作為一個領域仍處于初級階段，衡量任何特定計劃成熟度的唯一方法就是將它與其他組織機構的計劃進行對比。有些公司發(fā)布了說明性指南，例如“Microsoft 安全開發(fā)生命周期”，但這些努力與這些組織機構開發(fā)軟件的方式耦合過于緊密，因此很難成為其他企業(yè)的有用標尺。還有少數軟件安全領域的開拓者通過建立特定社區(qū)來相互學習和共享，但這種方法只是創(chuàng)建了一些難以加入且?guī)缀鯚o法擴展的孤立群體。

從啟動 BSIMM 研究以來，新思科技共對 167 家企業(yè)開展過調研，這包含 389 次不同的評估，有些企業(yè)使用 BSIMM 來評估其每一個業(yè)務部門，而且某些業(yè)務部門還被評估過不止一次。BSIMM 開展的工作表明，評估一家企業(yè)的軟件安全計劃既是可行的，也是非常有用的。組織機構可以借助于其 BSIMM 評估結果來規(guī)劃、構建及執(zhí)行軟件安全計劃的演進。

BSIMM 與市面上其它方案的不同在于，其它方案都是給出明確的做法，從而讓用戶提高軟件安全性，BSIMM 不是一份‘行動’指南，也不是一套萬能工具，而是對軟件安全行業(yè)目前狀態(tài)的反映，只報告其觀察到的東西。Olli Jarva 舉了一個形象的例子，“我們漫步在叢林之中，漫無目的地四處張望，發(fā)現“猴子在我們游覽的 Y 叢林的 X 處吃香蕉”。請注意，BSIMM 不會做如下之類的報告：您應當只吃黃色香蕉，不要一邊跑一邊吃香蕉，不要偷吃鄰居的香蕉，而且 BSIMM 也不會進行任何其他價值判斷。BSIMM 只報告其觀察到的東西，僅此而已。

BSIMM 旨在量化真實的軟件安全計劃所開展的活動。由于這些計劃使用了不同的方法和不同的術語，因此，BSIMM 需要借助一個框架來幫助我們以統(tǒng)一的方式來描述所有計劃。我們的軟件安全框架(SSF)和活動描述為解釋 SSI（軟件安全計劃）中的突出要素提供了一套通用詞匯表，從而能夠讓我們對各種各樣的計劃進行比較，即使它們采用了不同的術語，運行于不同規(guī)模，存在于不同的垂直市場，或者創(chuàng)建不同的工作產品。

Olli Jarva 表示，“我們把我們的工作成果歸類為成熟度模型，因為提高軟件安全性幾乎總是需要企業(yè)改變其運作方式，這可不是一朝一夕的事情。我們認識到，并非所有的企業(yè)都需要實現相同的安全目標，但我們相信，如果采用統(tǒng)一的標尺，所有的企業(yè)都會受益。”

這個標尺讓企業(yè)可以看到其它企業(yè)在進行哪些改進，從而判斷自己是否要在這些方面進行改進，這或許就是孫子兵法所說的“知己知彼，百戰(zhàn)不殆”。

BSIMM9 在數據庫中納入新的垂直行業(yè)
近期，新思科技發(fā)布了 BSIMM9，它是軟件安全構建成熟度模型(BSIMM)的第九個版本，收集了 120 家企業(yè)過去 10 年的真實數據。BSIMM9 強調了云轉型的影響和軟件安全社區(qū)的發(fā)展，并且在數據庫中納入了新的垂直行業(yè) -- 零售業(yè)。

BSIMM9 描述了 7,800 多名軟件安全專家的工作成果，展現了軟件安全最佳實踐模塊背后的科學性。這些成果對 41.5 萬名開發(fā)人員有指導作用，幫助他們最大化地保障產品的安全性。這些開發(fā)人員參與約 13.5 萬應用程序的開發(fā)工作。參與 BSIMM9 調研的企業(yè)來自有代表性的垂直行業(yè)，包括金融服務、獨立軟件供應商(ISVs)，云、醫(yī)療衛(wèi)生、物聯網、保險及零售業(yè)。BSIMM9 的主要發(fā)現包括：

云轉型：企業(yè)正在將其工作負載和開發(fā)流程遷移到云端 - 這種模式轉變需要采取不同的軟件安全措施。新思科技在評估過程中發(fā)現了三種直接或間接與云轉型有關的新活動并將它們加入到 BSIMM 報告。此外，在獨立軟件供應商、物聯網公司和云計算公司（三個最突出的垂直行業(yè)）觀察到的多種活動已開始融合，這表明通用云架構需要類似的軟件安全方法。

BSIMM 應用在不同垂直行業(yè)：BSIMM 可用來比較同一行業(yè)以及不同垂直行業(yè)之間的軟件安全計劃。BSIMM9 數據中納入了一個新的垂直行業(yè)——零售業(yè)。隨著電子商務模式的崛起，保持軟件安全對促進零售業(yè)健康發(fā)展至關重要，因此軟件安全計劃在這個行業(yè)的發(fā)展相對更快一些。零售業(yè)在安全方面已經比醫(yī)療保健和保險業(yè)更加成熟。

評估群體規(guī)模擴大：BSIMM8 收集的數據來自 109 家公司，BSIMM9 增加到 120 家。它所涵蓋的開發(fā)人員數量增長了 43％，其評估的軟件安全從業(yè)人員數量增長了 65％。BSIMM 規(guī)模的大幅提升也反映了軟件安全正在成為日益重要的優(yōu)先事項。

當然，用戶也會關心 BSIMM 如何確保樣本的新鮮度？新思科技的做法是不斷更新參與企業(yè)的名單，在 BSIMM9 中就剔除了那些時間已超過 42 個月的評估結果。得益于反復的評估，新思科技不僅能夠報告受訪企業(yè)當前的實踐，而且還能夠報告某些計劃多年來的演進方式。

與非網原創(chuàng)內容，未經允許，不得轉載！

?