软件安全与否需要一把标尺,BSIMM让企业“知己知彼、百战不殆”

2018-11-05 16:07:19 来源:EEFOCUS
标签:

根据Risk Based Security的报告,今年上半年业界发布了10,644个漏洞,超过2017年同期的9,690个漏洞,其中有近17%属于高危级别的严重漏洞,企业和个人面临的安全威胁与日俱增。因此,软件安全成为所有软件公司关注的重中之重。而且大多数认识到软件安全性的企业都对如下方面的不确定性困惑不已:到底应该进行什么程度和类型的投资?我们是否把投资优先用于正确领域了?我们是否使用了足够的技术?技术是否过多了?许多早期领导者将自己的职业成功押注在如何做出正确的选择,于是,他们特别想知道,从该领域以及从他们的职业生涯两个方面看,未来到底会怎么发展?

 

市面上有很多提高软件安全性的解决方案,它们给出了明确的改进建议,但是每款软件所适用的领域、定义的功能都不相同,它们需要一个框架性的指导方案,某一个改进方案并不能解决它们的实际问题,于是十年前新思科技开始构建软件安全构建成熟度模型(简称BSIMM),旨在帮助组织机构更有效地实施软件安全性的技术。

 


新思科技软件质量与安全部门管理顾问Olli Jarva

 

新思科技软件质量与安全部门管理顾问Olli Jarva 介绍,“BSIMM是一项关于软件安全计划的研究。通过量化多家不同企业的实践,我们得以发现许多企业的共同点以及彰显个性的不同之处。我们旨在帮助更广大的软件安全社区规划、实施和评估他们自己的计划。”

 

BSIMM让企业 “知己知彼、百战不殆”
在2008年,新思科技开始构建BSIMM初期,软件安全作为一个领域仍处于初级阶段,衡量任何特定计划成熟度的唯一方法就是将它与其他组织机构的计划进行对比。有些公司发布了说明性指南,例如“Microsoft安全开发生命周期”,但这些努力与这些组织机构开发软件的方式耦合过于紧密,因此很难成为其他企业的有用标尺。还有少数软件安全领域的开拓者通过建立特定社区来相互学习和共享,但这种方法只是创建了一些难以加入且几乎无法扩展的孤立群体。

 

从启动BSIMM研究以来,新思科技共对167家企业开展过调研,这包含389次不同的评估,有些企业使用BSIMM来评估其每一个业务部门,而且某些业务部门还被评估过不止一次。BSIMM开展的工作表明,评估一家企业的软件安全计划既是可行的,也是非常有用的。组织机构可以借助于其BSIMM评估结果来规划、构建及执行软件安全计划的演进。

 

BSIMM与市面上其它方案的不同在于,其它方案都是给出明确的做法,从而让用户提高软件安全性,BSIMM不是一份‘行动’指南,也不是一套万能工具,而是对软件安全行业目前状态的反映,只报告其观察到的东西。Olli Jarva举了一个形象的例子,“我们漫步在丛林之中,漫无目的地四处张望,发现“猴子在我们游览的Y丛林的X处吃香蕉”。请注意,BSIMM不会做如下之类的报告:您应当只吃黄色香蕉,不要一边跑一边吃香蕉,不要偷吃邻居的香蕉,而且BSIMM也不会进行任何其他价值判断。BSIMM只报告其观察到的东西,仅此而已。

 

BSIMM旨在量化真实的软件安全计划所开展的活动。由于这些计划使用了不同的方法和不同的术语,因此,BSIMM需要借助一个框架来帮助我们以统一的方式来描述所有计划。我们的软件安全框架(SSF)和活动描述为解释SSI(软件安全计划)中的突出要素提供了一套通用词汇表,从而能够让我们对各种各样的计划进行比较,即使它们采用了不同的术语,运行于不同规模,存在于不同的垂直市场,或者创建不同的工作产品。

 

Olli Jarva表示,“我们把我们的工作成果归类为成熟度模型,因为提高软件安全性几乎总是需要企业改变其运作方式,这可不是一朝一夕的事情。我们认识到,并非所有的企业都需要实现相同的安全目标,但我们相信,如果采用统一的标尺,所有的企业都会受益。”

 

这个标尺让企业可以看到其它企业在进行哪些改进,从而判断自己是否要在这些方面进行改进,这或许就是孙子兵法所说的“知己知彼,百战不殆”。

 

BSIMM9 在数据库中纳入新的垂直行业
近期,新思科技发布了BSIMM9,它是软件安全构建成熟度模型(BSIMM)的第九个版本,收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展,并且在数据库中纳入了新的垂直行业--零售业。

 

BSIMM9描述了7,800多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。参与BSIMM9调研的企业来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网、保险及零售业。BSIMM9的主要发现包括:

云转型:企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外,在独立软件供应商、物联网公司和云计算公司(三个最突出的垂直行业)观察到的多种活动已开始融合,这表明通用云架构需要类似的软件安全方法。

 

BSIMM应用在不同垂直行业:BSIMM可用来比较同一行业以及不同垂直行业之间的软件安全计划。BSIMM9数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

 

评估群体规模扩大:BSIMM8收集的数据来自109家公司,BSIMM9增加到120家。它所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。BSIMM规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

 

当然,用户也会关心BSIMM如何确保样本的新鲜度?新思科技的做法是不断更新参与企业的名单,在BSIMM9中就剔除了那些时间已超过42个月的评估结果。得益于反复的评估,新思科技不仅能够报告受访企业当前的实践,而且还能够报告某些计划多年来的演进方式。

 

与非网原创内容,未经允许,不得转载!


 

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

作者简介
郭云云
郭云云

与非网副主编,网名:咖啡不解困。在电子产业圈混迹8载,喜欢听大咖讲产业故事,喜欢听牛人分析产业趋势,也喜欢发表自己的“正理邪说”,时刻保持对所见所得的思考。

继续阅读
边缘智能或将打通物联网应用之路的最后一公里

据Gartner预测,到2020年,全球物联网设备的数量将超过200亿台。与此同时,设备本身也变得越来越智能化。人工智能与物联网在实际应用中的落地与融合,将推动人类社会进入“万物智能互联”时代,而随之产生的数据也将呈井喷式爆发。

多方发展促使数据基础架构转型,未来发展之路我们又该如何应对?

大家知道早在60年前,“人工智能”概念就正式提出。其发展曾经历了两次低谷,这两次低谷的原因一方面受质于人工智能三个因素,算力、算法和数据的制约。一方面受制于ICT的发展,没有实现数据的互联互通,人工智能就如同无源之水。

5G ——通信技术的又一代演进

正是在领先技术的支持下,加上全球最大的用户规模、巨大的4G网络、丰富的移动互联网应用等明显优势,5G牌照的发放可谓瓜熟蒂落

AI 与 5G 结合,究竟会带来怎样的变化?

5G相比4G网络,在数据传输速度、容量和延迟方面都有很大地飞跃。当AI与5G结合,未来的十年,会带来怎样的变化?

万物互联趋势将近,机遇与挑战也或将并存?

随着新技术的发展,物联网开始盛行,万物互联的趋势越来越近。Strategy Analytics调查报告显示,截至2018年末,全球联网设备数量达220亿台,企业物联网占据一半以上市场份额,庞大市场机遇也伴随着新的挑战。怎样将软件-硬件-系统这样一个整体连接在一起,实现网络连接和智能计算,成为一道难解的谜题。

更多资讯
任正非自画像:思考的都是失败,对成功视而不见

我们用任正非在各种场合的讲话,接受记者采访,以及一些史料,不加任何猜测和推断,真实地勾勒任正非,一个伟大的商业思想家,一个洞见的人性大师,一个顽强的奋斗者。

美国国会“约谈”后,白宫变卦:在2年内封杀华为

近日,美国白宫官员写信给国会,期望美国政府延迟对华为禁令的执行至4年以后,理由是禁令会导致美国政府的供应商数量“极大下降”。

特朗普与库克会谈?消费类电子产品能否摆脱关税冲击?

美国总统特朗普与苹果CEO库克会面,讨论科技公司面临的贸易和其他热点问题,因为特朗普正在考虑是否要兑现他对来自中国的进口关税加息的威胁。

九代酷睿游戏本种草,总有一款能打动你

今年的618全球年中购物节活动已经火热进行中,相信大家都准备趁着这个大促销活动清空一下购物车。

谷歌又出新动作了?除浴霸三摄,机身配色也换了

除浴霸摄像头外,谷歌Pixel 4豆沙绿色谍照曝光