新思科技完善软件安全计划并已经迎来了第11个版本

自2008年发布第一版BSIMM（软件安全构建成熟度模型）以来，新思科技这一旨在帮助企业规划、执行、评估和完善其软件安全计划（SSI）的免费开放模型已经迎来了第11个版本--BSIMM11。

在今天的BSIMM11媒体沟通会上，新思科技软件质量与安全部门高级安全架构师杨国梁介绍称，BSIMM反映了数百家企业的真实实践，是一种基于科学的观点的描述型模型，能够为企业的软件安全方案提供指导参考，并且作为一项免费及开放的标准，广泛适用于各行业，可以评估任一软件安全方案。

“2008年我们发布BSIMM第一个版本时，其中只有9家公司。今天发布的BSIMM11则包含了我们观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商（ISV）、云、医疗保健、物联网、保险及零售等。”杨国梁告诉我们，BSIMM非常注重数据的“新鲜度”。

他谈到，从2008年开始，新思科技大概对共计211家企业展开过约500次以上的BSIMM测评，但BSIMM11版本里却仅有130家企业。这是因为如果一家公司超过一定时间没有再做新的BSIMM评估，新思科技就会把这家公司从其数据池中给移出去。因为一定时间之前做的评估中的活动，可能在新的版本中已经不具备代表性。同时，新思科技也会根据市场动态增加或删除进行参考和统计的安全活动。

据介绍，BSIMM可以作为企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。在BSIMM报告中，会有一个反映全球不同领域企业（最新版本中，金融服务、独立软件供应商和云领域的企业占比最高）在12个具体实践维度中3个Level上平均水平的蛛网图，企业可以参照这张图对自身的安全性成熟度进行比较评估。

BSIMM11报告发现的新趋势包括：

·工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量。BSIMM11表明，持续集成和持续交付（CI/CD）工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。

·软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

·安全“左移”变为“无处不移”。“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧（较早期）的安全测试现在大多数情况下可能是在右侧（偏后期，包括生产阶段）。

·在BSIMM里引入金融科技垂直行业的数据。在仔细审查了金融行业中不断增长的公司数据池后，很明显，有必要添加一个专门面向金融服务的ISV单独的垂直行业。

“每家企业都需要明确的软件安全方案来聚焦工作。敏捷、CI/CD或DevOps，既不是软件安全的原因，也不是解决方案。我们认为，软件安全需要不同团队的共同努力，也即DevSecOps。”杨国梁说到。事实上，BSIMM11报告表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例。

据介绍，在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长（SM3.4 集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性）。这反映了一些企业如何积极加速软件安全工作，以适应软件交付的速度。此外，BSIMM11中添加的两个活动显示了这一趋势在延续（ST3.6 自动实施事件驱动的安全性测试，CMVM3.6 发布可部署工件的风险数据）。这些新的活动代表着向DevSecOps的转变。

目前，云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异：金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队，因此，与医疗保健和保险行业相比，拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据，并发现它与金融服务的追踪非常接近，主要的差异（有利于金融科技）体现在培训、安全测试和代码审查实践中。

“企业软件安全成熟度与其软件安全小组成立的时间，在某种程度上呈现一种正相关关系。一般来说，越早成立软件安全小组，或者在软件安全小组上花越多的时间，企业的软件安全成熟度就会越高。”杨国梁解释道。

而当我们问及安全由“左移”变为“无处不移”对于企业来说意味着什么时，杨国梁强调，左移目前还是一个比较好的方法论，根据新思科技与中国一些客户的交流，其实他们在整个开发过程中，能够做的比较有效的安全活动还不是很多。如果从投入产出比的角度来看，他建议企业先把左移做好，之后再进行其他可行实践。
责任编辑:pj