編者按：日前,，新思科技公司宣布發(fā)布了其最新版本的軟件安全構建成熟度模型(BSIMM)——BSIMM12報告，該報告反映了其觀察到的128家公司的軟件安全實踐,，描述了近3,000名軟件安全團隊成員和6,000多名外圍小組成員的工作成果，揭示了目前軟件開發(fā)企業(yè)的安全實踐活動新趨勢,。

作為全球企業(yè)衡量軟件安全的標尺,，BSIMM模型正在成為軟件開發(fā)企業(yè)實施安全實踐的重要參考，適用于包括金融服務,、金融科技,、獨立軟件供應商(ISV)、云,、醫(yī)療保健,、物聯(lián)網等多個垂直行業(yè)。

新思科技軟件質量與安全部門高級安全架構師楊國梁先生表示,，現(xiàn)代軟件中開源組件盛行,，而且利用開源漏洞進行的攻擊頻發(fā)，BSIMM12數(shù)據表明過去兩年軟件安全企業(yè)對開源的識別和管理活動增加了 61%,。在過去兩年中,，“對容器和虛擬化環(huán)境使用編排功能”的觀察增加了 560%。

與云平臺和容器技術相關的活動的增長表明,，這些技術對企業(yè)如何使用和保護軟件產生了巨大影響,。

BSIMM12報告發(fā)現(xiàn)的新趨勢包括以下六點內容。

趨勢一：影響廣泛的勒索軟件和軟件供應鏈中斷促使人們更加關注軟件安全,。

BSIMM 數(shù)據顯示,，在過去兩年中，參與評估的企業(yè)中,，進行“識別開源代碼”活動增加了 61%,，“創(chuàng)建 SLA 樣板文件”活動增加了 57%。

趨勢二：企業(yè)開始學習如何將風險轉化為數(shù)據,。

企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計劃數(shù)據,。過去 24 個月“在內部發(fā)布有關軟件安全的數(shù)據”活動增加了 30%，證明了這一點,。

趨勢三：增強的云安全功能,。

管理層的日益關注，再加上工程化的驅動,，使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評估他們的責任共擔模型,。過去兩年中，與云安全相關的活動平均有36次新觀察結果,。

趨勢四：安全團隊正在借調資源,、人員和知識用于DevSecOps活動。

BSIMM 數(shù)據顯示，軟件安全團隊正在從強制性的軟件安全行為朝著合作伙伴角色轉移——為 DevOps 實踐提供資源,、人員和知識,，目的是將安全工作納入軟件交付的關鍵路徑。

趨勢五：軟件物料清單活動增加了 367%,。

BSIMM 數(shù)據顯示專注于以下內容的能力有所增加,，包括軟件物料清單的功能； 創(chuàng)建軟件物料清單 (BOM),； 了解軟件是如何構建,、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力,。數(shù)據證明許多企業(yè)已經重視對全面,、最新的軟件 BOM 的需求，與這些功能相關的 BSIMM 活動（“通過運維物料清單來增強應用程序庫存盤點”）在過去兩年從3次增加到14次,，增長了367%,。

趨勢六：安全“左移”變?yōu)椤盁o處不移”。

 “左移”的概念側重于在開發(fā)過程中更早地進行安全測試,。 “無處不移”將安全測試擴展到在整個軟件生命周期中持續(xù)進行,，包括盡早進行更小、更快,、管道驅動的安全測試,，這可能是在設計階段，甚至在生產階段,。

從維護傳統(tǒng)的運營庫存轉向自動化資產發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無處不移”活動,，例如使用容器來強制實施安全控制、編排和掃描基礎設施即代碼,。 BSIMM 觀察到更多活動,，諸如“通過運維物料清單來增強應用程序庫存盤點”、“對容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動化資產創(chuàng)建”等活動,，都證明了上述趨勢。