2012年9月發(fā)布的《在成熟模型中構(gòu)建安全》（BSIMM）的第四版本被媒體大肆宣傳，BSIMM4包含對英特爾和富達(dá)案件的詳細(xì)的案例分析。筆者認(rèn)為BSIMM的重要性在于—它是唯一可用于衡量軟件安全計劃的數(shù)據(jù)驅(qū)動模型。BSIMM從事實出發(fā)，詳細(xì)描述軟件安全狀態(tài)。

但BSIMM沒有提供直接的建議來指導(dǎo)你的公司如何處理軟件安全問題。誠然，絕大多數(shù)企業(yè)才剛剛開始面對軟件安全，他們將受益于多年（集體）直接經(jīng)驗的可操作性指導(dǎo)。

根據(jù)在該行業(yè)多年的經(jīng)驗以及四年解譯BSIMM數(shù)據(jù)的經(jīng)驗，筆者提出了軟件安全十誡。

軟件安全十誡：規(guī)范性指導(dǎo)

1、你應(yīng)該通過軟件安全組（SSG）來建立軟件安全計劃（SSI）。

2、你應(yīng)該依賴采用BSIMM的風(fēng)險管理和客觀測量來定義SSI的成功來確定SSI的成功，而不是“前十名列表”和漏洞數(shù)量。

3、你應(yīng)該與企業(yè)高管溝通，直接將SSI的成功與業(yè)務(wù)價值聯(lián)系，并與公司的競爭對手作比較。

4、你應(yīng)該創(chuàng)建和采用SSDL方法，如微軟SDL或者Cigital Touchpoints，這些方法整合了安全控制（包括架構(gòu)風(fēng)險分析、代碼審查和滲透測試）以及比他們自己運(yùn)行的工具還更了解軟件安全的人員。

5、你不應(yīng)該將軟件安全活動僅限于技術(shù)SDLC活動，尤其是滲透測試。

6、你應(yīng)該為你的SSG發(fā)展培養(yǎng)軟件安全專家（因為周圍沒有足夠的合格專家）。

7、你應(yīng)該關(guān)注來自業(yè)務(wù)、運(yùn)營和事件響應(yīng)人員的情報信息，并相應(yīng)地調(diào)整SSI控制。

8、你應(yīng)該仔細(xì)追蹤你的數(shù)據(jù)，并指導(dǎo)數(shù)據(jù)的位置，無論你的架構(gòu)多么云計算化。

9、你不能單純地依靠安全特性與功能來構(gòu)建安全的軟件，因為安全是整個系統(tǒng)的新興資產(chǎn)，它依賴于正確地建立和整合所有部分。

10、你應(yīng)該修復(fù)已識別的軟件問題：漏洞和缺陷。#p#

關(guān)于軟件安全十誡的一些解釋和理由，按照先后順序。

通過軟件安全組（SSG）來建立軟件安全計劃（SSI）。BSIMM的51家企業(yè)都有一個活躍的軟件安全組。如果沒有軟件安全組，是不太可能建立可行的軟件安全計劃（迄今為止，在該領(lǐng)域沒有出現(xiàn)過例外），所以，在你開始軟件安全活動前，創(chuàng)建一個軟件安全組。軟件安全組有各種規(guī)模和形態(tài)，所有好的軟件安全組都應(yīng)該包含具有深度編碼經(jīng)驗的人和具有架構(gòu)經(jīng)驗的人。代碼審查是非常重要的最佳實踐，而執(zhí)行代碼審查，你必須完全理解代碼（更不用說大量的安全漏洞）。然而，最佳代碼審查人員有時候是非常糟糕的軟件架構(gòu)師，要求他們執(zhí)行架構(gòu)風(fēng)險分析只會讓他們一片茫然。請確保你的軟件安全組中有架構(gòu)人員以及代碼人員。滲透測試同樣如此，滲透測試需要以聰明的方式入侵事物（但通常不具有深度編碼技能）。最后，軟件安全組將需要對數(shù)百名開發(fā)人員進(jìn)行培訓(xùn)和指導(dǎo)，并直接與他們合作。溝通能力、教學(xué)能力以及良好的咨詢都是必備技能，至少對于部分軟件安全組工作人員而言。

依賴采用BSIMM的風(fēng)險管理和客觀測量來定義SSI的成功，而不是“前十名名單”和漏洞數(shù)量。太多軟件安全專業(yè)人士將軟件安全視為“打地鼠”式的漏洞查找。企業(yè)應(yīng)該意識到，發(fā)現(xiàn)漏洞并不沒有創(chuàng)建安全的軟件，也不能以此與管理層溝通。事實上，面對不斷擴(kuò)大的安全問題清單，只會讓高層管理人員感到更加沮喪。如果你將所有時間花費(fèi)在查找漏洞上，而不花時間來修復(fù)這些漏洞，這根本是徒勞無功。同樣地，如果你花時間來修復(fù)安全漏洞，但又反復(fù)發(fā)現(xiàn)同樣的漏洞，這仍然是徒勞。幸運(yùn)的是，BSIMM為軟件安全計劃提供了一個極好的測量標(biāo)桿。你可以將你的軟件安全計劃中的活動與同行進(jìn)行對比，以確定你是遙遙領(lǐng)先、排在中間，還是最后（不要讓自己淪為倒數(shù)）。BSIMM測量提供了對軟件安全計劃的詳細(xì)快照，這讓高層管理人員很容易理解。一些領(lǐng)先的企業(yè)使用BSIMM測量來追蹤進(jìn)展情況，并為設(shè)置軟件安全計劃戰(zhàn)略提供真實的數(shù)據(jù)。對于你的企業(yè)而言，需要何種程度的軟件安全性？這個問題問得好。所幸的是，一些你的同行可能知道。

與企業(yè)高管溝通時，直接將SSI的成功與業(yè)務(wù)價值相聯(lián)系，并與公司的競爭對手作比較。正如上訴所說，如果你正面對著不斷擴(kuò)大的安全問題清單，而你沒有想辦法來解決這些問題，你可能會被視為是問題的一部分。企業(yè)高管希望看到你的軟件安全計劃所有方面的一些“關(guān)鍵績效指標(biāo)”。培訓(xùn)進(jìn)展如何？你的開發(fā)人員學(xué)會了如何在最開始避免漏洞嗎？你的漏洞密度比是？也就是說，與六個月前相比，在相同單位內(nèi)，漏洞數(shù)量有所下降嗎？每當(dāng)你的開發(fā)團(tuán)隊整合新技術(shù)堆棧時，是否會出現(xiàn)大量安全漏洞？當(dāng)你發(fā)現(xiàn)和解決架構(gòu)問題或者修改了的要求時，你展示了這將會為你省下多少苦惱和金錢嗎？與去年相比，通過最近的生命周期滲透測試，你是否發(fā)現(xiàn)問題變少了？（應(yīng)該是這樣）。最后，因為軟件安全計劃具有多個活動部件，BSIMM測量是測量你自己的最可靠的方法。高層管理人員喜歡BSIMM，并能夠即時掌握其效用。

創(chuàng)建和采用SSDL方法，如微軟SDL或者Cigital Touchpoints，這些方法整合了安全控制（包括架構(gòu)風(fēng)險分析、代碼審查和滲透測試）以及比他們自己運(yùn)行的工具更了解軟件安全的人員。因為很多公司都在做軟件安全，所以存在很多不同的SSDL。并不是所有公司都有正式化的SSDL，但他們應(yīng)該有。你應(yīng)該從我的書《軟件安全》以及微軟的SDL借鑒一些想法，再加上一些OWASP和SAFEcode的想法。閱讀BSIMM，看看其他公司正在做什么。主要是要認(rèn)識到，我們知道現(xiàn)在應(yīng)該如何做軟件安全，這個領(lǐng)域已經(jīng)很成熟。首先，你需要用代碼審查（最好使用工具）來查找漏洞，用架構(gòu)風(fēng)險分析來找出問題，用滲透測試來找出容易忽略的漏洞。請確保當(dāng)你使用這些工具時，不要盲目地使用它們（或者將這些工具扔給不知所措的開發(fā)人員）。請記住這一點：如果所有的開發(fā)人員在沒有幫助的情況下，能夠直接利用安全工具的結(jié)果并且修復(fù)安全漏洞，他們將不會在最開始制造漏洞。你至少需要一名比這些工具更聰明的安全專業(yè)人士。真的是這樣，如果你需要確定和建立SSDL，就去尋求幫助，有很多安全顧問靠這個吃飯。