从安全“左移”到“无处不移” | 新思科技BSIMM11报告发布?
最近,新思维技术发表了最新版本的软件安全构筑成熟度模型(BSIMM)BSIMM11。BSIMM11的重要发现之一是安全向左移动无处不在。尽管在开发过程中开展一些安全测试推动了左移动的发展,但我们的目标远远不止于此。试图维护正确软件列表数据的企业发现,需要在源代码内容管理、构建过程、部署过程和运输环境之间协调工作。原因是列表的详细程度和内容可能因视角而异,并且经常发生变化。这些企业不仅要努力维护现有库存工作的有效性,还要适应工程技术自助服务的趋势和数字转型发生的变化,适应新的软件生命周期、软件结构的变化,适应工程技术自助服务的趋势和数字转型带来的巨大变化。
BSIMM旨在帮助企业计划、执行、评价和完善软件安全计划。BSIMM11反应了观察到的130家软件安全活动,涵盖了金融服务、金融技术、独立软件供应商(ISV)、云、医疗、物联网、保险、零售等多个垂直行业。BSIMM11描述了8457名软件安全专家的工作成果,这些成果对49万多名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。BSIMM11表明,很多企业为了支持数字转型和DevOps等现代软件开发的例子,调整了软件安全计划。
美国海军联邦信用合作社是BSIMM社区的一员,首席信息安全官Mike关于学习同行经验,特别是如何解决新的或出现的挑战的安全领导人,BSIMM提供了丰富的资源。如今,大多数企业面临着这样一个挑战:一方面,他们需要加快软件开发和推出市场。另一方面,他们需要确保越来越多的软件应用安全。BSIMM11反映了多少企业在调整软件安全战略,在不断创新或保障开发速度的同时保护自己和客户的软件应用安全。
BSIMM11报告中发现的新趋势包括
●工程技术导向的软件安全工作为实现弹性的DevOps的价值流做出了贡献。BSIMM11表明,持续整合和持续交付(CI/CD)工具和运输维护排列已经成为企业软件安全方案的常规操作,影响SSI的组织、设计和执行方式。例如,软件安全团队向技术团队和最高技术人员报告工作(不是IT安全团队和最高信息安全人员),而是改变内部招聘和组织人才的方式。
●软件定义的安全管理不仅仅是愿景。企业采用CI/CD管道执行中发生事件的自动化活动,取代摩擦性高的带外数据安全活动。将人员流程和决策转化为算法是企业解决资源约束和节奏管理问题的方法之一。
●安全向左移动无处不在。左移动概念的实现,从软件开发周期中提前实施安全测试的字面说明,在需要检查的工件可用时立即实施安全活动。这可能意味着过去我们认为左侧(较早)的安全测试现在大多在右侧(偏后期,包括生产阶段)。
●在BSIMM中引入金融科学技术垂直行业的数据。经过对金融行业不断增长的公司数据池的仔细审核,很明显,需要加入专门针对金融服务的ISV多带带垂直行业。
新思科技高级技术负责人兼BSIMM报告联合作者MichaelWare表示,近年来,现代软件的构建和配置方式发生了很大变化,为了确保软件安全所需的措施当然也发生了变化。企业业务依赖软件,现代方法论加快了开发速度。因此,软件的数量在增加,我们也需要担心以前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,代表着世界上数百家软件安全企业,包括世界领先的团队,采取的措施,提供了近乎实时的行业实践,了解如何实施新的措施,保护增加的软件产品组合。
BSIMM中的新活动代表着DevSecOps的变化
过去一年,BSIMMM10中添加的3项活动取得了惊人的成长(SM3.4集成软件定义了生命周期管理、AM3.3这反映了一些企业如何积极加快软件安全工作,以适应软件交付的开发者_JAVA技巧速度。另外,BSIMM11追加的两项活动显示了这一趋势继续(ST3.6自动实施事件驱动的安全性测试,CMVM3.6发表了可以部署工件的风险数据)。
不同行业BSIMM的应用
BSIMM提供了基于数据的独特见解,以了解和比较各行业软件安全计划的相对优缺点。云、物联网和高新技术公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11强调了三个受到高度监督的行业的不同:金融服务、医疗保健和保险。金融服务行业比其他行业建立软件安全队伍更早,因此与医疗保健和保险行业相比,软件安全实践更成熟。BSIMM首次总结了金融科学技术行业的数据,发现与金融服务的跟踪非常接近,主要差异(有利于金融科学技术)出现在训练、安全测试和代码审查实践中。
https://www.bsimm.com/zh-cn/download.htmlcmp=pr-sigamp;utm_medium=referral
精彩评论