隨著科技的不斷進步，軟件因其方便、快捷、實用性強等特點，在各個領域中得到了廣泛的應用。然而，隨之而來的安全問題也日益凸顯，從軟件缺陷到漏洞，再到大規模的數據泄露，特別是現在，越來越多的企業將一些關鍵業務轉移到線上，軟件安全一旦出現問題可能帶來災難性的后果或重大經濟損失，因此，有效地評估軟件的安全性十分必要。

現在，企業組織通常會從其軟件開發生命周期中收集安全指標，實施基本安全措施，并將保護用戶數據的義務定義為基本安全策略的一部分。

[[433641]]

根據年度《構建安全成熟度模型》(BSIMM)報告顯示，超過四分之三的受訪組織定期采取10項常見安全措施來改善其整體防御態勢，其中包括檢測其安全開發生命周期(SDLC)以及使用自動化工具等等。

構建安全成熟度模型(BSIMM)是一種數據驅動的模型，采用一套面對面訪談技術開展 BSIMM評估，唯一目標就是觀察和報告。它是一把衡量企業在軟件開發階段構建軟件安全能力的標尺。BSIMM軟件安全框架(SSF)包含四個領域——治理、 情報、SSDL觸點和部署。這四個領域又包括12個實踐模塊，而這12個實踐模塊中又包含122項BSIMM活動。

該報告就是基于對受訪企業的12個實踐模塊進行評估，詢問他們是否進行了122項不同的安全活動中的任何一種。結果顯示，在參與調查的128家公司中，92%的公司從其軟件開發生命周期收集數據以提高安全性，而91%的公司定期確認其基礎主機和網絡安全措施的狀態——根據BSIMM調查生成的排名列表，這正是受訪組織中最常見的兩項安全舉措。

BSIMM報告的作者之一Eli Erlikhman表示，這些數據表明，企業組織在完善其軟件安全流程方面正取得重大進展。他解釋稱，“我們看到軟件安全流程方面正在得到進一步改進，組織在某些領域變得更好，例如控制開源風險、供應商安全以及缺陷發現等。與此同時，我們也看到該行業仍有改進的空間，組織應該繼續增強自身的能力。”

目前的評估結果發現，越來越多涉及勒索軟件攻擊和軟件供應鏈攻擊的公共事件(例如針對遠程管理軟件制造商Kaseya的攻擊事件)使企業組織更加關注旨在預防或減輕事件的措施。在過去兩年中，61%的受訪組織正在積極尋求識別開源風險——今年是74 家，而兩年前是 46家——而55家公司已經開始授權模板軟件許可協議，比兩年前增加了57%。

在過去的18個月中，企業組織經歷了數字化轉型計劃的“大跨步”。考慮到這些變化的復雜性和速度，對于安全團隊來說，擁有能夠讓他們了解自身立場并為下一步行動提供參考的工具，變得前所未有的重要。

BSIMM報告旨在讓公司能夠就如何隨著時間的推移改進其軟件安全工作做出數據驅動的決策。10 項最常見的舉措——以及參與這些舉措的組織比例如下所示：

• 實施生命周期檢測并用于定義治理(92%);
• 確保主機和網絡安全基礎措施到位(91%);
• 確定PII義務(89%);
• 執行安全功能審查(88%);
• 使用外部滲透測試人員發現問題(87%);
• 創建或與事件響應交互(84%);
• 集成并提供安全功能(80%);
• 使用自動化工具(80%);
• 確保QA執行邊緣/邊界值條件測試(78%);
• 將合規性約束轉化為需求(77%);

數據表明，總的來說，企業組織在軟件安全方面正變得越來越成熟。兩年前，BSIMM報告發現，只有70%的受訪組織執行了前10項舉措中最不常見的舉措，而今年這一比例為77%。

BSIMM調查還顯示，越來越多的企業組織專注于保護其軟件供應鏈并確保其基礎設施安全。 兩個增長最快的活動是為容器和虛擬化環境應用編排，參與企業從兩年前的5家增加到33 家，其次是確保云安全基礎，現在是59家企業參與，而兩年前僅有9家。

檢查軟件物料清單(SBOM)是另一個快速增長的軟件安全領域，有14家企業采取了這項活動，而兩年前只有3家公司。

報告還發現，其中許多活動都從“專注于將安全性進一步轉移到開發”——所謂的“左移”(shift left)——轉變為“專注于將安全活動添加到需要的地方”——所謂的“無處不移”(shift everywhere)。運營基礎設施的自動化安全驗證就是一個例子，其中安全性從左移到開發，右移到運營，更全面地轉移到工程中。

本文翻譯自：https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions