历史上的今天
今天是:2024年11月16日(星期六)
2020年11月16日 | BSIMM11发布,下一个十年软件安全将怎么走?
2020-11-16 来源:EEWORLD
2008年,BSIMM(Build Security In Maturity Model)问世,标志着成熟度模型这个概念从软件开发更细致化到了安全领域。
新思科技(Synopsys)已连续十一年发布BSIMM——BSIMM旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反映了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8,457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
日前,新思科技软件质量与安全部门高级安全架构师杨国梁介绍了BSIMM11的一些新变化,从这些新变化中,我们可以看到安全领域的一些动向。
新思科技软件质量与安全部门高级安全架构师杨国梁
BSIMM11报告变化
杨国梁表示,BSIMM11共有130家企业进行参与,其中有五大动向,与软件开发的发展动向十分吻合。如下所示:
一,安全从左移(shift left)变成“无处不移”(shift everywhere)。杨国梁说道,近年来安全“左移”的概念被反复提及,但实际上重视安全的企业已经开始进行“左移”实践。杨国梁表示:“有些场景下可以左移,需要尽量早地检查代码问题,但有些场景,可能要到最后容器化上线时,才会根据配置进行安全检查,但已经很靠右了,会叠加很多新的安全检查内容,总的来说,并不能一味强行套用“左移”概念,只要是需要安全检查的点,都需要重视。”
“在开发的过程中加入所谓的静态检查,组件分析,威胁建模,架构分析等都体现了左移过程。除此之外,在监管运营的时会有不断的渗透测试等等测试。在部署之后,还需要针对云、容器进行测试或安全活动。 ”杨国梁说道。
二,工程技术导向的软件安全工作成功地为实现弹性的DevOps价值流贡献力量。目前软件安全主要由工程技术导向与监管治理导向两个流派。监管治理导向是有一个中央机构去制定安全策略和流程,而工程技术导向则是开发人员自发地去做DevSecOps,采取更为有效的工具,相比教条僵化的监管治理导向更加灵活化弹性化。“开发人员不拘泥于每个点该做什么安全检查,而是将安全检查变成价值导向,哪个位置做最有帮助就会在哪个位置做。”杨国梁解释道。
从21世纪初,SSG(software security group)已经出现在大型公司,专门负责公司的软件安全。在2006年之前,绝大多数其实是由监管治理导向的,中央机构对公司的策略流程及安全规范负责。监管治理导向比较侧重于合规性,检查点以及集中测试等,要求在发布之前移除所有的风险。2006年之后,以DevOps为基础的工程技术导向开发流派出现,他们更灵活,以追求快速上线、善于利用自动化工具、强调软件弹性、认可价值流测试以及认为生产环境可触碰。所以他们不会关注各种教条式、合规式的东西。
但无论哪种模式,都是在追求软件的弹性、质量和安全,所以未来将会呈现混合式的管理模式。
三,更广泛地使用CI/CD和DevOps,这也是软件行业整体的发展趋势。
四,根据在过去三年的 BSIMM模型,新思观察到了8个新的活动,这8个活动都同DevSecOps有关,这也是一个明显的增长趋势。
五,软件定义安全管理不再仅仅是一种愿望,依靠软件化、自动化、流水线等技术,将软件安全开发或测试都可以变成类似于基础设施架构的东西,而不再仅仅纯粹地依靠管控。
新鲜度与活动
为了与时俱进地体现软件安全,BSIMM模型非常看重新鲜度这个概念。如果一个企业间隔超过36个月,还没有再做一次新的BSIMM评估的话,那在今年度的BSIMM报告里面就会剔除,以确保数据是有代表性的。
另外一个则是在BSIMM观测中,共有12个实践(Practice),每个实践中有不同级别的活动(Activity),这个也不固定。如果长期观测不到某个活动,证明其不再具有代表性,就会进行剔除。同时,当观察到新活动时,也会进行增加,以代表不同趋势。通过不断演进,让模型更为准确。
如图所示,BSIMM11报告中观察的新活动,未来将有可能成为企业安全的主要活动
BSIMM的好处
BSIMM作为成熟度模型,可以用来进行多项评估,为客户软件安全开发提供强力支持。
首先,是通过视图方式,掌握软件安全方案的现状。
其次,是衡量新的软件安全方法。
第三,是评估企业自身的软件安全方案策略。
第四,是建立一个衡量软件安全方案的进展的方法。
第五,是展示软件安全的状态,利用第三方评估结果,为包括客户,合作伙伴以及监管机构在内的对象提供强力说明。
第六,收集具体细节,以向公司高层或董事会说明安全方案如何发挥作用。
随着BSIMM进入下一个十年时,软件安全问题越来越受到市场重视,软件开发模式相比以往也有了重大革新,BSIMM也在不断改进,包括改进模型,组织社区讨论等活动,以便真正可以对企业的软件安全程度给予真实的反应,帮助企业认识并改进安全策略。
史海拾趣
|
看到网上说的是把vs2005\\vc\\ce\\dll下与对应cpu的mfc dll 手动添加到NK.bin,模拟器就可以支持MFC APP 但是我添加了没的反映, APP 是vs2005,smartdevice,vc的? --------需要注意什么问题呢?… 查看全部问答> |
|
wince error LNK2001: unresolved external symbol CeMountDBVolEx wince error LNK2001: unresolved external symbol CeMountDBVolEx MyDB.obj : error LNK2019: unresolved external symbol CeOpenDatabaseInSession referenced in function __catch$74659 ...... 1>CEDB.obj : error LNK2001: unre ...… 查看全部问答> |
|
各位大虾, 小弟现在发现一个难解问题,就是在wince开始一切正常,但是经过一段时间操作后会有注册表文件被破坏的情况,此时就不能进wince系统,一直当机在boot画面。 在boot里面接上电脑。弹出u盘发现, ...… 查看全部问答> |
|
声明了一个A类,A类里有另一个类类型(B)的成员变量,B类型有公有确省构造函数,有保护构造函数 编译时候出错,提示不能访问保护构造函数 class B { public: B();//缺省构造函数 protected: B(const B &src, bool copy ...… 查看全部问答> |
|
我认为你把IS和A0直接相与欠妥。若DAC的片选低有效,IS和A0的非相与后接入如DAC; 若DAC的片选高有效,IS的非和A0相与后接入如DAC。你试试吧。… 查看全部问答> |
|
本帖最后由 天天好心情亲 于 2015-11-9 15:50 编辑 F7用硬件I2C读取MPU6050的数据 结果程序不运行,无法读取数据!!参考官方的例程库结果还有点看不懂!!不知道该怎么办了!! … 查看全部问答> |
|
我在设计C6678算法时想要引入数据库的思想。我看了一下CCS是可以定义类(class)的,但是我定义了class却显示错误。请问我在程序中想要定义一个类需要什么先决条件或者设置吗? … 查看全部问答> |
|
有一块闲置的DSP板子 之前想换块ARM板子 一直没换成 希望这次可以。。。 板子连接: http://www.study-kit.com/goods-1 ... 25AE%25BC%25D2.html … 查看全部问答> |