软件安全与否需要一把标尺，BSIMM让企业“知己知彼、百战不殆”

根据 Risk Based Security 的报告，今年上半年业界发布了 10,644 个漏洞，超过 2017 年同期的 9,690 个漏洞，其中有近 17％属于高危级别的严重漏洞，企业和个人面临的安全威胁与日俱增。因此，软件安全成为所有软件公司关注的重中之重。而且大多数认识到软件安全性的企业都对如下方面的不确定性困惑不已：到底应该进行什么程度和类型的投资？我们是否把投资优先用于正确领域了？我们是否使用了足够的技术？技术是否过多了？许多早期领导者将自己的职业成功押注在如何做出正确的选择，于是，他们特别想知道，从该领域以及从他们的职业生涯两个方面看，未来到底会怎么发展？

市面上有很多提高软件安全性的解决方案，它们给出了明确的改进建议，但是每款软件所适用的领域、定义的功能都不相同，它们需要一个框架性的指导方案，某一个改进方案并不能解决它们的实际问题，于是十年前新思科技开始构建软件安全构建成熟度模型（简称 BSIMM），旨在帮助组织机构更有效地实施软件安全性的技术。

新思科技软件质量与安全部门管理顾问 Olli Jarva

新思科技软件质量与安全部门管理顾问 Olli Jarva 介绍，“BSIMM 是一项关于软件安全计划的研究。通过量化多家不同企业的实践，我们得以发现许多企业的共同点以及彰显个性的不同之处。我们旨在帮助更广大的软件安全社区规划、实施和评估他们自己的计划。”

BSIMM 让企业 “知己知彼、百战不殆”
在 2008 年，新思科技开始构建 BSIMM 初期，软件安全作为一个领域仍处于初级阶段，衡量任何特定计划成熟度的唯一方法就是将它与其他组织机构的计划进行对比。有些公司发布了说明性指南，例如“Microsoft 安全开发生命周期”，但这些努力与这些组织机构开发软件的方式耦合过于紧密，因此很难成为其他企业的有用标尺。还有少数软件安全领域的开拓者通过建立特定社区来相互学习和共享，但这种方法只是创建了一些难以加入且几乎无法扩展的孤立群体。

从启动 BSIMM 研究以来，新思科技共对 167 家企业开展过调研，这包含 389 次不同的评估，有些企业使用 BSIMM 来评估其每一个业务部门，而且某些业务部门还被评估过不止一次。BSIMM 开展的工作表明，评估一家企业的软件安全计划既是可行的，也是非常有用的。组织机构可以借助于其 BSIMM 评估结果来规划、构建及执行软件安全计划的演进。

BSIMM 与市面上其它方案的不同在于，其它方案都是给出明确的做法，从而让用户提高软件安全性，BSIMM 不是一份‘行动’指南，也不是一套万能工具，而是对软件安全行业目前状态的反映，只报告其观察到的东西。Olli Jarva 举了一个形象的例子，“我们漫步在丛林之中，漫无目的地四处张望，发现“猴子在我们游览的 Y 丛林的 X 处吃香蕉”。请注意，BSIMM 不会做如下之类的报告：您应当只吃黄色香蕉，不要一边跑一边吃香蕉，不要偷吃邻居的香蕉，而且 BSIMM 也不会进行任何其他价值判断。BSIMM 只报告其观察到的东西，仅此而已。

BSIMM 旨在量化真实的软件安全计划所开展的活动。由于这些计划使用了不同的方法和不同的术语，因此，BSIMM 需要借助一个框架来帮助我们以统一的方式来描述所有计划。我们的软件安全框架(SSF)和活动描述为解释 SSI（软件安全计划）中的突出要素提供了一套通用词汇表，从而能够让我们对各种各样的计划进行比较，即使它们采用了不同的术语，运行于不同规模，存在于不同的垂直市场，或者创建不同的工作产品。

Olli Jarva 表示，“我们把我们的工作成果归类为成熟度模型，因为提高软件安全性几乎总是需要企业改变其运作方式，这可不是一朝一夕的事情。我们认识到，并非所有的企业都需要实现相同的安全目标，但我们相信，如果采用统一的标尺，所有的企业都会受益。”

这个标尺让企业可以看到其它企业在进行哪些改进，从而判断自己是否要在这些方面进行改进，这或许就是孙子兵法所说的“知己知彼，百战不殆”。

BSIMM9 在数据库中纳入新的垂直行业
近期，新思科技发布了 BSIMM9，它是软件安全构建成熟度模型(BSIMM)的第九个版本，收集了 120 家企业过去 10 年的真实数据。BSIMM9 强调了云转型的影响和软件安全社区的发展，并且在数据库中纳入了新的垂直行业 -- 零售业。

BSIMM9 描述了 7,800 多名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对 41.5 万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。这些开发人员参与约 13.5 万应用程序的开发工作。参与 BSIMM9 调研的企业来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网、保险及零售业。BSIMM9 的主要发现包括：

云转型：企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到 BSIMM 报告。此外，在独立软件供应商、物联网公司和云计算公司（三个最突出的垂直行业）观察到的多种活动已开始融合，这表明通用云架构需要类似的软件安全方法。

BSIMM 应用在不同垂直行业：BSIMM 可用来比较同一行业以及不同垂直行业之间的软件安全计划。BSIMM9 数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起，保持软件安全对促进零售业健康发展至关重要，因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

评估群体规模扩大：BSIMM8 收集的数据来自 109 家公司，BSIMM9 增加到 120 家。它所涵盖的开发人员数量增长了 43％，其评估的软件安全从业人员数量增长了 65％。BSIMM 规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

当然，用户也会关心 BSIMM 如何确保样本的新鲜度？新思科技的做法是不断更新参与企业的名单，在 BSIMM9 中就剔除了那些时间已超过 42 个月的评估结果。得益于反复的评估，新思科技不仅能够报告受访企业当前的实践，而且还能够报告某些计划多年来的演进方式。

与非网原创内容，未经允许，不得转载！