新思科技发布软件安全构建成熟度模型第12版

BSIMM12报告显示开源、云、容器安全活动增长显著

自2008年起，新思科技每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈，收集不同企业的实际软件安全实践的定量数据，并分析汇总成为报告——软件安全构建成熟度模型(BSIMM)。近日，新思科技发布了BSIMM12报告。

BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM12反映了观察到的128家公司的软件安全实践，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。BSIMM12描述了近3,000名软件安全团队成员和6,000多名外围小组成员的工作成果。BSIMM是全球企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。

现代软件中开源组件盛行，而且利用开源漏洞进行的攻击频发。BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了 61%。

与云平台和容器技术相关的活动的增长表明，这些技术对企业如何使用和保护软件产生了巨大影响。 例如，在过去两年中，“对容器和虚拟化环境使用编排功能”的观察增加了 560%。

美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员，其首席信息安全官 Mick Ware表示：“过去18个月里，企业都经历了数字化转型大幅加速。越来越多的企业采用软件定义方式来部署和管理软件环境以及云技术堆栈。鉴于这些变化的复杂性和速度之快，对于安全团队来说，拥有工具让他们了解安全计划的状态，并为下一步的发展方向提供参考至关重要。BSIMM 是用于实现此目的的管理工具。BSIMM提供独特的视角，可以了解企业如何改变实施软件定义的安全功能（如策略即代码）的策略，以与现代软件开发原则和实践保持一致。”

Genetec Inc.也是BSIMM社区的一员，其首席安全架构师Mathieu Chevalier表示：“BSIMM 研究方便企业有一个基准用来评估当前的安全实践，确定优先事项及保持前瞻性，以应对安全领域的新兴趋势。BSIMM 的描述性模型可帮助企业确定如何开始构建软件安全计划并使其行之有效。BSIMM12对责任共担模型的观察尤其应鼓励安全领导者考虑他们如何发展，以应对和缩小其安全战略中的任何潜在差距。”

兰吉尔(Landis+Gyr)首席信息安全官Todd Wiedman表示：“BSIMM报告与行业最佳实践步调一致。凭借BSIMM，我们可以了解不同开发团队观察到的各种开发安全活动的成熟度。随着软件开发实践的加速，BSIMM12 数据解释了安全开发计划中发生的实际变化。 有了这些信息，企业可以调整自己的策略来保护自身和客户，同时保持创新。” Landis+Gyr是 BSIMM社区成员企业。

Finastra 产品和数据安全计划总监 Vinod Raghavan表示： “我们一直在使用 BSIMM 框架来提升安全战略，这是产品和数据安全计划的一部分。它有助于我们与金融服务及跨行业的其它企业进行基准比较，以提高安全成熟度。” Finastra是 BSIMM社区成员企业。

BSIMM12报告发现的新趋势包括：

影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。 BSIMM 数据显示，在过去两年中，参与评估的企业中，进行“识别开源代码”活动增加了 61%，“创建 SLA 样板文件”活动增加了 57%。

企业开始学习如何将风险转化为数据。 企业正更加努力地收集和发布他们的软件安全计划数据。过去 24 个月“在内部发布有关软件安全的数据”活动增加了 30%，证明了这一点。

增强的云安全功能。 管理层的日益关注，再加上工程化的驱动，使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中，与云安全相关的活动平均有36次新观察结果。

安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM 数据显示，软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识，目的是将安全工作纳入软件交付的关键路径。

软件物料清单活动增加了 367%。 BSIMM 数据显示专注于以下内容的能力有所增加，包括软件物料清单的功能； 创建软件物料清单 (BOM)； 了解软件是如何构建、配置和部署的； 以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件 BOM 的需求，与这些功能相关的 BSIMM 活动（“通过运维物料清单来增强应用程序库存盘点”）在过去两年从3次增加到14次，增长了367%。

安全“左移”变为“无处不移”。 “左移”的概念侧重于在开发过程中更早地进行安全测试。 “无处不移”将安全测试扩展到在整个软件生命周期中持续进行，包括尽早进行更小、更快、管道驱动的安全测试，这可能是在设计阶段，甚至在生产阶段。

从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动，例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。 BSIMM 观察到更多活动，诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动，都证明了上述趋势。

新思科技软件质量与安全部门总经理Jason Schmitt表示：“自 2008 年以来，BSIMM 咨询、研究和数据专家一直在收集有关企业为应对软件安全挑战所采取的不同途径的信息。参与BSIMM评估的企业软件安全计划的平均年限为4.4年，反映了企业如何调整以应对现代开发和部署实践新趋势。有了这些信息，企业就可以调整策略来保护他们的企业和客户，并持续创新。”