历史上的今天
今天是:2024年12月23日(星期一)
2019年12月23日 | BSIMM:将“只说事实”的方法大规模应用在软件安全领域
2019-12-23 来源:EEWORLD
BSIMM的唯一目标就是观察和报告。我们的“只说事实”的方法在科学和工程领域并不鲜见,但在软件安全领域,如此大规模地采用这种方法却是鲜有的。其他人开展的工作要么是描述某一家组织机构的经验,要么是完全根据个人经验和观点的结合来提供一些规范性的指导。
新思科技在2019年10月发布了最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM10。BSIMM不是实验室的产物,而是对上百家公司进行了几百次评估,真实地反应观察到的软件安全活动。BSIMM帮助企业规划、执行、完善和评估其软件安全计划(SSIs) ,经过10个版本的迭代,提供更全面、更精细的报告。
首先,我想指出BSIMM并不是操作指南,而是一种描述性模型。我们可以这样形容:假设我们去拜访邻居,并观察到“在我们参观的Y房子中,有X座有机器人真空吸尘器。”请注意,BSIMM不会做如下之类的报告:“所有的房子都必须有机器人真空吸尘器”、“机器人是唯一可以接受的真空吸尘器”或者“每天必须使用真空吸尘器”,BSIMM也不会进行任何其他价值判断。BSIMM只报告其观察到的东西,仅此而已。
相反,BSIMM只是观察并报告软件安全程序的当前状态。对企业的好处是,BSIMM并不是告诉他们用一种单一的方法去做什么,而是详细报告了其它公司已经在怎么做了。
BSIMM10反映了观察到的122家公司真实的软件安全活动。代表的公司来自垂直行业,包括云、物联网(IoT)、独立软件供应商(ISVs)、科技、医疗保健、金融服务、保险及零售业。
下图显示了所有企业与示例企业相比较的蛛网图。绘制高水位标记值可提供低分辨率的成熟度视图,适用于公司之间、业务部门之间,以及同一公司内部的比较。与攻击模型和体系结构分析相比,当前的122家公司正在投入更多的精力在策略和指标、合规性和政策以及标准和要求方面,而示例企业则似乎在攻击模型、代码审查和渗透测试领域投入更多。
蓝色为示例企业
这种观点可以代表整体成熟度,但也可以按行业纵向细分研究,以观察跨活动的实践和各个行业之间的增长差异。
例如,在金融服务等受到严格监管的行业中,面向合规性和政策的安全活动激增并不足为奇;相反,我们通常看不到ISV或IoT在这个领域有特别大的投入。 BSIMM报告得知大多数垂直行业都对基础安全活动有深刻的了解。
由于各种原因,一些垂直行业在某些领域的努力要比其它垂直行业多。某些行业中,他们的特定活动与法规、条文和合同等和法律有关的事宜挂钩。BSIMM10包括12个实践模块,而这12个实践模块中又包含119项BSIMM活动。这119项活动的优先和受重视程度也会取决于客户期望和偏好和隐私规定等。
还有另一种情况,不同的垂直行业根据对风险的不同理解来执行不同的安全活动。我们在高水位标记值可以看到这一点。而高水位图又反映了帮助其建立特定SSI的基础活动和较不常见的活动。
我们不能说医疗保健公司X比保险公司Y更成熟,因为这就像将苹果与桔子进行比较。为什么?因为每个公司都会根据自己的需求制定正确的计划。即使他们属于一个行业,一家公司进行30项活动,另一家公司进行50项活动,他们的软件产品也可能具有相同的总体成熟度。
但是我们可以说,在特定行业内的一组公司所做的事情似乎在整个行业内都具有重要意义。然后,另一个行业的另一组公司进行完全不同的活动,这对他们来说也很重要。它们不一定是同一项活动,但是每个行业之间都有趋势。
我还要指出,BSIMM10是BSIMM研究的第一个迭代,正式反映了SSI文化的变化。在新一波由工程主导的软件安全工作浪潮中可以观察到这一点,这些工作源于部署和运营团队自下而上的沟通,而不是软件安全团队自上而下的方式。
在一些企业中,以工程为主导的安全文化已成为一种建立和发展有意义的软件安全措施的方式。即使在几年前,以工程为主导的安全文化已经开始发挥这个作用。
BSIMM数据还表明,DevOps运动以及CI / CD工具和数字化转型的增长,这正在影响公司为其软件产品寻求软件安全的方式。正因为如此,BSIMM10包括三个新活动。BSIMM10新增加的三项活动清晰地描述了一条轨迹:软件定义生命周期治理、软件定义资产创建的软件辅助监控、以及软件定义基础架构的自动验证。这表明一些企业正在积极研究如何加快安全部署,以跟上新功能的交付速度。
企业开始使用DevOps实践,将软件移向云端。我们看到这是大多数公司重要变革的推动力。随着DevOps文化和CI / CD工具链与云部署相交,我们在考虑软件安全性时意识到这是一个改变行业格局的进展。
在这些技术和策略发展的早期阶段,仍有不确定因素,我们尚未完全理解其影响。BSIMM即将到来的新版本肯定会为企业从DevOps迁移到DevSecOps提供更多见解,并指点其云部署。
史海拾趣
|
工程师赚钱之路!!经常是老板赚大钱自己却只拿工资,有没有其他的方法欢迎讨论~ 作为硬件工程师,最郁闷的事情不外于此,辛辛苦苦设计成的硬件电路板,却没有版权,活活看着自己给公司剥削也无可奈何,即使设计的产品销量再好,跟你也是毫无关系,最后还可能被公司一脚踢开。为了解决这个问题,我们经过多年的研究与实践,终于想 ...… 查看全部问答> |
|
要暂时中断winCE的学习,转去看windows下USB驱动的开发,郁闷中…… 公司一个项目要做windows下USB驱动的开发,老大叫我跟着一起看看相关的知识,并跟我说了一大通做USB设备驱动的前景。USB驱动比较复杂,要花时间去学习的,那我就要暂时中断winCE的学习了。但心里还是想朝winCE这个方向发展,况且也学了一些日子了, ...… 查看全部问答> |
|
程序崩溃后,CEDB没有Unmount,导致下次mount失败 程序崩溃后CeUnmountDBVol没有调用,下次执行程序时CeMountDBVol(OPEN_ALLWAYS)失败,请问怎么解决… 查看全部问答> |
|
用vc生成一个dll文件(Phone.dll),并把它拷贝到pda的根目录下(该目录下有一个用EVC生成的导入dll的EXE文件),希望在pda中导入dll,相关代码如下: HINSTANCE ghPhoneDLL=NULL; ...… 查看全部问答> |
|
用modelsim进行仿真,为了便于观察,我希望仿真结果按一定的顺序显示。可是每次手动调整完信号顺序后,再重新仿真,顺序又乱了,有没有办法将这些信号的顺序固定下来,每仿真一次都按这个顺序显示结果?… 查看全部问答> |
|
在STM32F10X参考手册上的第21(实际36)页,有一个时钟树。上面"APB1 Prescaler /1,2,4,8,16"下面"TIM2,3,4 *1,2 Multiplier"是不是可倍频的意思呀?我没有找到这一项的设置呢?哪一个寄存器位是设置这一项?菜鸟 ...… 查看全部问答> |
|
LED 亮度控制要求有一个能够提供恒定、稳压电流的驱动器。要想达到这一目标,驱动器拓扑必须能够产生足够大的输出电压来正向偏置 LED。因此,如果输入和输出电压范围重叠时,我们又该做何选择呢? 德州仪器 (TI) 应用工程师John Betten, ...… 查看全部问答> |