软件安全与否需要一把标尺,BSIMM让企业“知己知彼、百战不殆”

2018-11-05 16:07:19 来源:EEFOCUS
标签:

根据Risk Based Security的报告,今年上半年业界发布了10,644个漏洞,超过2017年同期的9,690个漏洞,其中有近17%属于高危级别的严重漏洞,企业和个人面临的安全威胁与日俱增。因此,软件安全成为所有软件公司关注的重中之重。而且大多数认识到软件安全性的企业都对如下方面的不确定性困惑不已:到底应该进行什么程度和类型的投资?我们是否把投资优先用于正确领域了?我们是否使用了足够的技术?技术是否过多了?许多早期领导者将自己的职业成功押注在如何做出正确的选择,于是,他们特别想知道,从该领域以及从他们的职业生涯两个方面看,未来到底会怎么发展?

 

市面上有很多提高软件安全性的解决方案,它们给出了明确的改进建议,但是每款软件所适用的领域、定义的功能都不相同,它们需要一个框架性的指导方案,某一个改进方案并不能解决它们的实际问题,于是十年前新思科技开始构建软件安全构建成熟度模型(简称BSIMM),旨在帮助组织机构更有效地实施软件安全性的技术。

 


新思科技软件质量与安全部门管理顾问Olli Jarva

 

新思科技软件质量与安全部门管理顾问Olli Jarva 介绍,“BSIMM是一项关于软件安全计划的研究。通过量化多家不同企业的实践,我们得以发现许多企业的共同点以及彰显个性的不同之处。我们旨在帮助更广大的软件安全社区规划、实施和评估他们自己的计划。”

 

BSIMM让企业 “知己知彼、百战不殆”
在2008年,新思科技开始构建BSIMM初期,软件安全作为一个领域仍处于初级阶段,衡量任何特定计划成熟度的唯一方法就是将它与其他组织机构的计划进行对比。有些公司发布了说明性指南,例如“Microsoft安全开发生命周期”,但这些努力与这些组织机构开发软件的方式耦合过于紧密,因此很难成为其他企业的有用标尺。还有少数软件安全领域的开拓者通过建立特定社区来相互学习和共享,但这种方法只是创建了一些难以加入且几乎无法扩展的孤立群体。

 

从启动BSIMM研究以来,新思科技共对167家企业开展过调研,这包含389次不同的评估,有些企业使用BSIMM来评估其每一个业务部门,而且某些业务部门还被评估过不止一次。BSIMM开展的工作表明,评估一家企业的软件安全计划既是可行的,也是非常有用的。组织机构可以借助于其BSIMM评估结果来规划、构建及执行软件安全计划的演进。

 

BSIMM与市面上其它方案的不同在于,其它方案都是给出明确的做法,从而让用户提高软件安全性,BSIMM不是一份‘行动’指南,也不是一套万能工具,而是对软件安全行业目前状态的反映,只报告其观察到的东西。Olli Jarva举了一个形象的例子,“我们漫步在丛林之中,漫无目的地四处张望,发现“猴子在我们游览的Y丛林的X处吃香蕉”。请注意,BSIMM不会做如下之类的报告:您应当只吃黄色香蕉,不要一边跑一边吃香蕉,不要偷吃邻居的香蕉,而且BSIMM也不会进行任何其他价值判断。BSIMM只报告其观察到的东西,仅此而已。

 

BSIMM旨在量化真实的软件安全计划所开展的活动。由于这些计划使用了不同的方法和不同的术语,因此,BSIMM需要借助一个框架来帮助我们以统一的方式来描述所有计划。我们的软件安全框架(SSF)和活动描述为解释SSI(软件安全计划)中的突出要素提供了一套通用词汇表,从而能够让我们对各种各样的计划进行比较,即使它们采用了不同的术语,运行于不同规模,存在于不同的垂直市场,或者创建不同的工作产品。

 

Olli Jarva表示,“我们把我们的工作成果归类为成熟度模型,因为提高软件安全性几乎总是需要企业改变其运作方式,这可不是一朝一夕的事情。我们认识到,并非所有的企业都需要实现相同的安全目标,但我们相信,如果采用统一的标尺,所有的企业都会受益。”

 

这个标尺让企业可以看到其它企业在进行哪些改进,从而判断自己是否要在这些方面进行改进,这或许就是孙子兵法所说的“知己知彼,百战不殆”。

 

BSIMM9 在数据库中纳入新的垂直行业
近期,新思科技发布了BSIMM9,它是软件安全构建成熟度模型(BSIMM)的第九个版本,收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展,并且在数据库中纳入了新的垂直行业--零售业。

 

BSIMM9描述了7,800多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。参与BSIMM9调研的企业来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网、保险及零售业。BSIMM9的主要发现包括:

云转型:企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外,在独立软件供应商、物联网公司和云计算公司(三个最突出的垂直行业)观察到的多种活动已开始融合,这表明通用云架构需要类似的软件安全方法。

 

BSIMM应用在不同垂直行业:BSIMM可用来比较同一行业以及不同垂直行业之间的软件安全计划。BSIMM9数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

 

评估群体规模扩大:BSIMM8收集的数据来自109家公司,BSIMM9增加到120家。它所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。BSIMM规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

 

当然,用户也会关心BSIMM如何确保样本的新鲜度?新思科技的做法是不断更新参与企业的名单,在BSIMM9中就剔除了那些时间已超过42个月的评估结果。得益于反复的评估,新思科技不仅能够报告受访企业当前的实践,而且还能够报告某些计划多年来的演进方式。

 

与非网原创内容,未经允许,不得转载!


 

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

作者简介
郭云云
郭云云

与非网北京站编辑,网名:咖啡不解困。混迹在电子社区,混迹在电子产业圈,虽不如工程师懂技术但也算半个电子人,喜欢听别人讲故事,喜欢思考电子圈的是是非非,更喜欢发表自己的“正理邪说”,时刻保持对所见所得的思考。

继续阅读
物联网会将未来社会变成什么样子?
物联网会将未来社会变成什么样子?

复旦大学管理学院课题组发布的《移动物联网(2017)行业研究报告》显示,2020年我国移动物联网业务总体市场规模可达1.76万亿元,市场年均复合增长率将达15%。

对于芯片产业而言,物联网给行业带来了哪些新的机遇?
对于芯片产业而言,物联网给行业带来了哪些新的机遇?

不同于PC、手机芯片市场,物联网芯片市场将呈现一种多样化、场景化的局面,没有任何一家巨头能独自应对巨大的市场需求,场景的多样化是物联网芯片市场的特点。据公开数据预测,2020年中国的物联网芯片市场将达到百亿美金级别。

利用Microchip的业内功耗最低的片上LoRa®系统加速 远程物联网节点的开发

LoRa®(远距离)技术结合远距离无线连接功能和低功耗性能,扩大物联网(IoT)的覆盖范围。为了加快LoRa连网解决方案的发展,Microchip Technology Inc.(美国微芯科技公司)推出高度集成的LoRa系统封装(SiP)系列,该器件采用超低功耗32位单片机(MCU)、sub-GHz射频LoRa收发器和软件协议栈。

芯品速递,Design Compiler、STM32L0系列MCU以及全SiC功率模块出新品

一手新鲜,给你带来最新的电子行业产品信息。本期带来两款产品:下一代Design Compiler、STM32L0超值系列MCU以及全SiC功率模块。

物联网和OLED能否助力京东方破解迷局?

京东方科技集团股份有限公司(简称京东方)作为国内液晶面板行业的带头大哥,然而股价受周期和业绩影响,长期处于低迷状态。近期因成为国产旗舰手机Mate20Pro柔性OLED显示屏第一供应商,再次走进了大众视野,受到越来越多投资者的关注。

更多资讯
2018第二届重庆国际手机展盛大开幕:OPPO/vivo等一线品牌震撼亮相

2018年11月15日,由重庆市经济和信息委员会主办、手机报承办的“2018第二届国际手机产业领袖峰会”正式在重庆南坪国际会展中心召开,此次手机行业盛宴旨在打造一个全球手机领域优秀产品集中展示的平台,促进产业链上下游深度交流合作,用实际行动贯彻落实以大数据智能化为引领的创新驱动发展战略。

苹果股价连续下挫,市值蒸发近1070亿美元?

据外媒报道,受投行Guggenheim周三发布研报,把苹果股票评级从“买入”下调为“中性”的影响,苹果股价周三再跌2.82%,市值跌破9000亿美元。在过去的5个交易日中,苹果股价连续下挫,累计跌去约11%,市值蒸发近1070亿美元,创出自4月以来的最长连跌。

华为明年将推5G折叠和10倍无损变焦4摄手机?
华为明年将推5G折叠和10倍无损变焦4摄手机?

近日,华为西欧消费者业务总裁戢仁贵(Walter Ji)在接受外媒时透露了华为手机2019年的发展方向,其中有几个部分非常值得关注。华为手机从2018Q2开始超越苹、成为全球第二大手机厂商,高端产品线功不可没;而随着5G的到来,高端手机市场的竞争势必更加激烈,那么华为的“杀手锏”是什么呢?

FB高管都用安卓手机?啥情况
FB高管都用安卓手机?啥情况

Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)下令其高管团队只能使用安卓手机,因安卓操作系统在全球拥有更多用户。但据报道,实际上这一决定是在苹果首席执行官蒂姆·库克(Tim Cook)接受采访时批评Facebook后作出的。

上个季度销量增长最快的智能硬件品类是什么?笔记本电脑/手机/平板/智能音箱?
上个季度销量增长最快的智能硬件品类是什么?笔记本电脑/手机/平板/智能音箱?

前两个月各大厂商都陆续发布了今年最重磅的硬件新品,那么上个季度销量增长最快的智能硬件品类是什么?

电路方案