软件安全与否需要一把标尺,BSIMM让企业“知己知彼、百战不殆”

2018-11-05 16:07:19 来源:EEFOCUS
标签:

根据Risk Based Security的报告,今年上半年业界发布了10,644个漏洞,超过2017年同期的9,690个漏洞,其中有近17%属于高危级别的严重漏洞,企业和个人面临的安全威胁与日俱增。因此,软件安全成为所有软件公司关注的重中之重。而且大多数认识到软件安全性的企业都对如下方面的不确定性困惑不已:到底应该进行什么程度和类型的投资?我们是否把投资优先用于正确领域了?我们是否使用了足够的技术?技术是否过多了?许多早期领导者将自己的职业成功押注在如何做出正确的选择,于是,他们特别想知道,从该领域以及从他们的职业生涯两个方面看,未来到底会怎么发展?

 

市面上有很多提高软件安全性的解决方案,它们给出了明确的改进建议,但是每款软件所适用的领域、定义的功能都不相同,它们需要一个框架性的指导方案,某一个改进方案并不能解决它们的实际问题,于是十年前新思科技开始构建软件安全构建成熟度模型(简称BSIMM),旨在帮助组织机构更有效地实施软件安全性的技术。

 


新思科技软件质量与安全部门管理顾问Olli Jarva

 

新思科技软件质量与安全部门管理顾问Olli Jarva 介绍,“BSIMM是一项关于软件安全计划的研究。通过量化多家不同企业的实践,我们得以发现许多企业的共同点以及彰显个性的不同之处。我们旨在帮助更广大的软件安全社区规划、实施和评估他们自己的计划。”

 

BSIMM让企业 “知己知彼、百战不殆”
在2008年,新思科技开始构建BSIMM初期,软件安全作为一个领域仍处于初级阶段,衡量任何特定计划成熟度的唯一方法就是将它与其他组织机构的计划进行对比。有些公司发布了说明性指南,例如“Microsoft安全开发生命周期”,但这些努力与这些组织机构开发软件的方式耦合过于紧密,因此很难成为其他企业的有用标尺。还有少数软件安全领域的开拓者通过建立特定社区来相互学习和共享,但这种方法只是创建了一些难以加入且几乎无法扩展的孤立群体。

 

从启动BSIMM研究以来,新思科技共对167家企业开展过调研,这包含389次不同的评估,有些企业使用BSIMM来评估其每一个业务部门,而且某些业务部门还被评估过不止一次。BSIMM开展的工作表明,评估一家企业的软件安全计划既是可行的,也是非常有用的。组织机构可以借助于其BSIMM评估结果来规划、构建及执行软件安全计划的演进。

 

BSIMM与市面上其它方案的不同在于,其它方案都是给出明确的做法,从而让用户提高软件安全性,BSIMM不是一份‘行动’指南,也不是一套万能工具,而是对软件安全行业目前状态的反映,只报告其观察到的东西。Olli Jarva举了一个形象的例子,“我们漫步在丛林之中,漫无目的地四处张望,发现“猴子在我们游览的Y丛林的X处吃香蕉”。请注意,BSIMM不会做如下之类的报告:您应当只吃黄色香蕉,不要一边跑一边吃香蕉,不要偷吃邻居的香蕉,而且BSIMM也不会进行任何其他价值判断。BSIMM只报告其观察到的东西,仅此而已。

 

BSIMM旨在量化真实的软件安全计划所开展的活动。由于这些计划使用了不同的方法和不同的术语,因此,BSIMM需要借助一个框架来帮助我们以统一的方式来描述所有计划。我们的软件安全框架(SSF)和活动描述为解释SSI(软件安全计划)中的突出要素提供了一套通用词汇表,从而能够让我们对各种各样的计划进行比较,即使它们采用了不同的术语,运行于不同规模,存在于不同的垂直市场,或者创建不同的工作产品。

 

Olli Jarva表示,“我们把我们的工作成果归类为成熟度模型,因为提高软件安全性几乎总是需要企业改变其运作方式,这可不是一朝一夕的事情。我们认识到,并非所有的企业都需要实现相同的安全目标,但我们相信,如果采用统一的标尺,所有的企业都会受益。”

 

这个标尺让企业可以看到其它企业在进行哪些改进,从而判断自己是否要在这些方面进行改进,这或许就是孙子兵法所说的“知己知彼,百战不殆”。

 

BSIMM9 在数据库中纳入新的垂直行业
近期,新思科技发布了BSIMM9,它是软件安全构建成熟度模型(BSIMM)的第九个版本,收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展,并且在数据库中纳入了新的垂直行业--零售业。

 

BSIMM9描述了7,800多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。参与BSIMM9调研的企业来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网、保险及零售业。BSIMM9的主要发现包括:

云转型:企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外,在独立软件供应商、物联网公司和云计算公司(三个最突出的垂直行业)观察到的多种活动已开始融合,这表明通用云架构需要类似的软件安全方法。

 

BSIMM应用在不同垂直行业:BSIMM可用来比较同一行业以及不同垂直行业之间的软件安全计划。BSIMM9数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

 

评估群体规模扩大:BSIMM8收集的数据来自109家公司,BSIMM9增加到120家。它所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。BSIMM规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

 

当然,用户也会关心BSIMM如何确保样本的新鲜度?新思科技的做法是不断更新参与企业的名单,在BSIMM9中就剔除了那些时间已超过42个月的评估结果。得益于反复的评估,新思科技不仅能够报告受访企业当前的实践,而且还能够报告某些计划多年来的演进方式。

 

与非网原创内容,未经允许,不得转载!


 

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

作者简介
郭云云
郭云云

与非网北京站编辑,网名:咖啡不解困。混迹在电子社区,混迹在电子产业圈,虽不如工程师懂技术但也算半个电子人,喜欢听别人讲故事,喜欢思考电子圈的是是非非,更喜欢发表自己的“正理邪说”,时刻保持对所见所得的思考。

继续阅读
亚太物联网采用者获得重大业务收益

Frost & Sullivan’s recent survey dispels IoT myths and shows tangible business outcomes

从消费市场和企业市场看物联网发展潜力

随着越来越多的设备接入网络,并实现相互沟通,我们正在加速进入“万物互联”的时代。

国内MCU厂商在市场爆炸增长环境下的机遇

微控制器(MCU),也就是我们所说的单片机,是今天电子产品的心脏,被广泛地应用到消费和工业电子产品中。小到体温计、无线充电器和智能手环,大到数控机床、机器人和汽车,都有MCU的身影。

RFID+物联网开启零售数字化时代

无人工厂、无人仓储、无人机、无人驾驶、……科技带给人们的是劳动力的解放,给各行各业带来的则是格局的重构。而对普通消费者来讲,零售模式的转换是我们可以切身感受到的。

Semtech的LoRa技术被用于金廷科技(YoSmart)的企业和商业楼宇的物联网应用中

LoRa技术已被证实能够在密集环境中处理多个传感器,使其成为大型智能楼宇网络的理想选择

更多资讯
智能家居是否能成为格力的新市场?

今日下午,格力电器召开临时股东大会,对推迟了7个月之久的换届董事提名进行审议表决。大会上,董明珠透露,格力电器2018年税后利润为260亿元以上。

光学屏下指纹识别技术逐渐成熟,市场将迎来新一轮洗牌

在2018年的CES大会上,vivo率先发布了屏下指纹手机,在全面屏手机盛行的时代,无疑是投下一颗炸弹。现在的国产手机品牌基本上都在研发屏下指纹手机,听说国外的三星苹果也在跟进这项技术。另外日本的JDI公司也在研发,不过上市的时间要到今年。

服务机器人市场迎来爆发期,主要原因是人口老龄化趋势加快
服务机器人市场迎来爆发期,主要原因是人口老龄化趋势加快

随着人口老龄化趋势的加重,全球服务机器人市场迎来了爆发增长期,而中国的发展态势最为猛烈。

滚筒式手机、伸缩式手机这些手机未来会有市场吗?
滚筒式手机、伸缩式手机这些手机未来会有市场吗?

和Galaxy S系列10周年一样吸睛的折叠式手机将在下个月与S10一同公开,三星电子也强调,继折叠式手机之后,会持续研发出滚筒式、伸缩式屏幕等各种型态的手机。

可折叠手机咋就成了技术方面的创新突破?
可折叠手机咋就成了技术方面的创新突破?

预计下个月三星将推出两款新的智能手机旗舰产品,包括目前传言满天飞的Galaxy S10,以及首款可折叠手机Galaxy F。后者已经在11月份进行了软发布,但三星只展示了手机的Infinity Flex无限柔性屏幕,以及新的One UI用户界面,这个用户界面将支持所有三星移动产品体验,包括Galaxy F。

电路方案