《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > AET原創(chuàng) > 最新BSIMM11報(bào)告揭示軟件開發(fā)安全新動(dòng)向

最新BSIMM11報(bào)告揭示軟件開發(fā)安全新動(dòng)向

DevOps和數(shù)字化轉(zhuǎn)型下軟件安全計(jì)劃發(fā)生根本轉(zhuǎn)變
2020-11-20
作者:于寅虎
來源:電子技術(shù)應(yīng)用
關(guān)鍵詞: 新思科技 BSIMM

日前,,新思科技發(fā)布了其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)報(bào)告——BSIMM11,,調(diào)研結(jié)果顯示,許多企業(yè)正在調(diào)整其軟件安全計(jì)劃,,以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例,。

BSIMM.jpg

BSIMM模型是新思科技軟件質(zhì)量與安全部門推出的面向軟件開發(fā)安全領(lǐng)域的調(diào)研活動(dòng),,旨在幫助企業(yè)規(guī)劃、執(zhí)行,、評(píng)估和完善其軟件安全計(jì)劃(SSI),。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動(dòng),覆蓋多個(gè)垂直行業(yè),包括金融服務(wù),、金融科技,、獨(dú)立軟件供應(yīng)商(ISV)、云,、醫(yī)療保健,、物聯(lián)網(wǎng)、保險(xiǎn)及零售等,。

BSIMM11描述了8,457名軟件安全專家的工作成果,,這些成果對(duì)超過49萬(wàn)名開發(fā)人員有指導(dǎo)作用。

Kelfen Yang.jpg

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁在接受記者采訪時(shí)表示,,此次發(fā)布的BSIMM11報(bào)告里,,企業(yè)在保證軟件開發(fā)安全的措施出現(xiàn)了新趨勢(shì)。

趨勢(shì)一:工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的 DevOps 價(jià)值流貢獻(xiàn)力量,。

BSIMM11數(shù)據(jù)表明,,持續(xù)集成和持續(xù)交付(CI/CD)工具和運(yùn)維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作,并且正在影響SSI的組織,、設(shè)計(jì)和執(zhí)行方式,。例如,軟件安全團(tuán)隊(duì)越來越多地向技術(shù)小組或首席技術(shù)官匯報(bào)工作(而不是IT安全團(tuán)隊(duì)或首席信息安全官),,并且正在改變內(nèi)部招募和組織人才的方式,。

趨勢(shì)二:軟件定義的安全管理不再僅僅是一種愿景。

企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動(dòng)化活動(dòng)替代一些摩擦性高的帶外(out-of-band)數(shù)據(jù)安全活動(dòng),。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一,。

趨勢(shì)三:安全“左移”變?yōu)椤盁o(wú)處不移”。

“左移”概念的實(shí)現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測(cè)試的字面解釋演變?yōu)樵谟写龣z查的工件可用時(shí)立即執(zhí)行安全活動(dòng),。這可能意味著在過去我們認(rèn)為在左側(cè)(較早期)的安全測(cè)試現(xiàn)在大多數(shù)情況下可能是在右側(cè)(偏后期,,包括生產(chǎn)階段)。

趨勢(shì)四:在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù),。

在仔細(xì)審查了金融行業(yè)中不斷增長(zhǎng)的公司數(shù)據(jù)池后,,很明顯有必要添加一個(gè)專門面向金融服務(wù)的ISV單獨(dú)的垂直行業(yè)。

新的調(diào)研報(bào)告顯示,,在過去的一年中,,添加到BSIMM10中的三個(gè)安全措施(SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營(yíng)基礎(chǔ)運(yùn)維安全性),,采用的企業(yè)數(shù)量取得了驚人的增長(zhǎng),。這反映了一些企業(yè)如何積極加速軟件安全工作,逐漸向DevSecOps的轉(zhuǎn)變,,以適應(yīng)軟件交付的速度,。

此外,,BSIMM11又添加了兩個(gè)來自企業(yè)的兩個(gè)新安全措施(ST3.6 自動(dòng)實(shí)施事件驅(qū)動(dòng)的安全性測(cè)試,CMVM3.6 發(fā)布可部署工件的風(fēng)險(xiǎn)數(shù)據(jù)),,而這顯示了上述趨勢(shì)在延續(xù),。

云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè),。BSIMM11還強(qiáng)調(diào)了三個(gè)受到高度監(jiān)管的行業(yè)之間的差異:金融服務(wù),、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊(duì),,因此與醫(yī)療保健和保險(xiǎn)行業(yè)相比,,擁有更為成熟的軟件安全實(shí)踐。

因此,,BSIMM11首次歸納金融科技行業(yè)的數(shù)據(jù),,并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近,主要的差異(有利于金融科技)體現(xiàn)在培訓(xùn),、安全測(cè)試和代碼審查實(shí)踐中,。

最新BSIMM11報(bào)告下載。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。