近日，新思科技發(fā)布了軟件安全構(gòu)建成熟度模型第12個(gè)版本——BSIMM12。該模型評(píng)估了128家企業(yè)，涵蓋了金融、金融科技、獨(dú)立軟件供應(yīng)商、科技、物聯(lián)網(wǎng)、云、零售等眾多行業(yè)，旨在幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃。

BSIMM12報(bào)告中發(fā)現(xiàn)的新趨勢包括：

影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使人們更加關(guān)注軟件安全。 BSIMM 數(shù)據(jù)顯示，在過去兩年中，參與評(píng)估的企業(yè)中，進(jìn)行“識(shí)別開源代碼”活動(dòng)增加了 61%，“創(chuàng)建 SLA 樣板文件”活動(dòng)增加了 57%。

企業(yè)開始學(xué)習(xí)如何將風(fēng)險(xiǎn)轉(zhuǎn)化為數(shù)據(jù)。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計(jì)劃數(shù)據(jù)。過去 24 個(gè)月“在內(nèi)部發(fā)布有關(guān)軟件安全的數(shù)據(jù)”活動(dòng)增加了 30%，證明了這一點(diǎn)。

增強(qiáng)的云安全功能。 管理層的日益關(guān)注，再加上工程化的驅(qū)動(dòng)，使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評(píng)估他們的責(zé)任共擔(dān)模型。過去兩年中，與云安全相關(guān)的活動(dòng)平均有36次新觀察結(jié)果。

安全團(tuán)隊(duì)正在借調(diào)資源、人員和知識(shí)用于DevSecOps活動(dòng)。BSIMM 數(shù)據(jù)顯示，軟件安全團(tuán)隊(duì)正在從強(qiáng)制性的軟件安全行為朝著合作伙伴角色轉(zhuǎn)移——為 DevOps 實(shí)踐提供資源、人員和知識(shí)，目的是將安全工作納入軟件交付的關(guān)鍵路徑。

軟件物料清單活動(dòng)增加了 367%。BSIMM 數(shù)據(jù)顯示專注于以下內(nèi)容的能力有所增加，包括軟件物料清單的功能； 創(chuàng)建軟件物料清單 (BOM)； 了解軟件是如何構(gòu)建、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力。數(shù)據(jù)證明許多企業(yè)已經(jīng)重視對(duì)全面、最新的軟件 BOM 的需求，與這些功能相關(guān)的 BSIMM 活動(dòng)（“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫存盤點(diǎn)”）在過去兩年從3次增加到14次，增長了367%。

安全“左移”變?yōu)?ldquo;無處不移”。“左移”的概念側(cè)重于在開發(fā)過程中更早地進(jìn)行安全測試。“無處不移”將安全測試擴(kuò)展到在整個(gè)軟件生命周期中持續(xù)進(jìn)行，包括盡早進(jìn)行更小、更快、管道驅(qū)動(dòng)的安全測試，這可能是在設(shè)計(jì)階段，甚至在生產(chǎn)階段。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國梁表示，目前安全團(tuán)隊(duì)面臨著諸多挑戰(zhàn)，而這些挑戰(zhàn)也正契合了BSIMM12報(bào)告中的趨勢預(yù)測：

擁抱數(shù)字化轉(zhuǎn)型及云技術(shù)。數(shù)字化轉(zhuǎn)型過程中會(huì)涉及大量云相關(guān)的技術(shù)，如何確保其安全問題至關(guān)重要。 

為工程團(tuán)隊(duì)及AppSec團(tuán)隊(duì)搭建橋梁。企業(yè)需要考慮如何利用模型幫助工程團(tuán)隊(duì)及AppSec團(tuán)隊(duì)互相理解，互相借鑒，從而把事情做得更好。

向“無處不移”轉(zhuǎn)變。由于容器技術(shù)的興起，導(dǎo)致一些安全活動(dòng)只能在容器部署時(shí)才開始監(jiān)控，勢必導(dǎo)致安全“左移”，如果只能在容器部署階段監(jiān)控，那么也要適度的向右移，向部署階段、監(jiān)控階段進(jìn)行安全活動(dòng)。此外，由于公司各個(gè)環(huán)節(jié)都有相應(yīng)的安全工作，因此“無處不移”將成為未來趨勢。 

DevSecOps。越來越多的企業(yè)開始采用DevSecOps高生產(chǎn)力兼顧安全的模型，而在DevSecOps的過程中如何確保效率以及安全，也將是很大的挑戰(zhàn)。

大規(guī)模工作的可視性。如何在海量代碼下確保得到相應(yīng)的數(shù)據(jù)，并用這些數(shù)據(jù)來驅(qū)動(dòng)工作進(jìn)一步有序地開展，都是亟需解決的問題。

管理供應(yīng)鏈風(fēng)險(xiǎn)。如何管控好供應(yīng)鏈的每個(gè)環(huán)節(jié)，避免供應(yīng)鏈攻擊的發(fā)生，一直是困擾業(yè)界的難題。

楊國梁表示，十幾年來，BSIMM 咨詢、研究和數(shù)據(jù)專家一直在不斷地豐富BSIMM 模型，幫助企業(yè)調(diào)整安全策略，進(jìn)行持續(xù)創(chuàng)新，以保護(hù)他們的企業(yè)和客戶。

楊國梁還強(qiáng)調(diào)，BSIMM不是一套方法論或者指導(dǎo)性的模型，它是全球企業(yè)衡量軟件安全的標(biāo)尺，企業(yè)可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較，然后去做相應(yīng)的改善。

下載>>> BSIMM12報(bào)告