近日，新思科技發(fā)布了軟件安全構(gòu)建成熟度模型第12個版本——BSIMM12。該模型評估了128家企業(yè)，涵蓋了金融、金融科技、獨立軟件供應(yīng)商、科技、物聯(lián)網(wǎng)、云、零售等眾多行業(yè)，旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃。

BSIMM12報告中發(fā)現(xiàn)的新趨勢包括：

影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使人們更加關(guān)注軟件安全。 BSIMM 數(shù)據(jù)顯示，在過去兩年中，參與評估的企業(yè)中，進行“識別開源代碼”活動增加了 61%，“創(chuàng)建 SLA 樣板文件”活動增加了 57%。

企業(yè)開始學(xué)習(xí)如何將風險轉(zhuǎn)化為數(shù)據(jù)。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計劃數(shù)據(jù)。過去 24 個月“在內(nèi)部發(fā)布有關(guān)軟件安全的數(shù)據(jù)”活動增加了 30%，證明了這一點。

增強的云安全功能。 管理層的日益關(guān)注，再加上工程化的驅(qū)動，使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評估他們的責任共擔模型。過去兩年中，與云安全相關(guān)的活動平均有36次新觀察結(jié)果。

安全團隊正在借調(diào)資源、人員和知識用于DevSecOps活動。BSIMM 數(shù)據(jù)顯示，軟件安全團隊正在從強制性的軟件安全行為朝著合作伙伴角色轉(zhuǎn)移——為 DevOps 實踐提供資源、人員和知識，目的是將安全工作納入軟件交付的關(guān)鍵路徑。

軟件物料清單活動增加了 367%。BSIMM 數(shù)據(jù)顯示專注于以下內(nèi)容的能力有所增加，包括軟件物料清單的功能； 創(chuàng)建軟件物料清單 (BOM)； 了解軟件是如何構(gòu)建、配置和部署的； 以及提高企業(yè)基于安全遙測重新部署的能力。數(shù)據(jù)證明許多企業(yè)已經(jīng)重視對全面、最新的軟件 BOM 的需求，與這些功能相關(guān)的 BSIMM 活動（“通過運維物料清單來增強應(yīng)用程序庫存盤點”）在過去兩年從3次增加到14次，增長了367%。

安全“左移”變?yōu)?ldquo;無處不移”。“左移”的概念側(cè)重于在開發(fā)過程中更早地進行安全測試。“無處不移”將安全測試擴展到在整個軟件生命周期中持續(xù)進行，包括盡早進行更小、更快、管道驅(qū)動的安全測試，這可能是在設(shè)計階段，甚至在生產(chǎn)階段。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示，目前安全團隊面臨著諸多挑戰(zhàn)，而這些挑戰(zhàn)也正契合了BSIMM12報告中的趨勢預(yù)測：

擁抱數(shù)字化轉(zhuǎn)型及云技術(shù)。數(shù)字化轉(zhuǎn)型過程中會涉及大量云相關(guān)的技術(shù)，如何確保其安全問題至關(guān)重要。 

為工程團隊及AppSec團隊搭建橋梁。企業(yè)需要考慮如何利用模型幫助工程團隊及AppSec團隊互相理解，互相借鑒，從而把事情做得更好。

向“無處不移”轉(zhuǎn)變。由于容器技術(shù)的興起，導(dǎo)致一些安全活動只能在容器部署時才開始監(jiān)控，勢必導(dǎo)致安全“左移”，如果只能在容器部署階段監(jiān)控，那么也要適度的向右移，向部署階段、監(jiān)控階段進行安全活動。此外，由于公司各個環(huán)節(jié)都有相應(yīng)的安全工作，因此“無處不移”將成為未來趨勢。 

DevSecOps。越來越多的企業(yè)開始采用DevSecOps高生產(chǎn)力兼顧安全的模型，而在DevSecOps的過程中如何確保效率以及安全，也將是很大的挑戰(zhàn)。

大規(guī)模工作的可視性。如何在海量代碼下確保得到相應(yīng)的數(shù)據(jù)，并用這些數(shù)據(jù)來驅(qū)動工作進一步有序地開展，都是亟需解決的問題。

管理供應(yīng)鏈風險。如何管控好供應(yīng)鏈的每個環(huán)節(jié)，避免供應(yīng)鏈攻擊的發(fā)生，一直是困擾業(yè)界的難題。

楊國梁表示，十幾年來，BSIMM 咨詢、研究和數(shù)據(jù)專家一直在不斷地豐富BSIMM 模型，幫助企業(yè)調(diào)整安全策略，進行持續(xù)創(chuàng)新，以保護他們的企業(yè)和客戶。

楊國梁還強調(diào)，BSIMM不是一套方法論或者指導(dǎo)性的模型，它是全球企業(yè)衡量軟件安全的標尺，企業(yè)可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進行比較，然后去做相應(yīng)的改善。

下載>>> BSIMM12報告