2008年,BSIMM(Build Security In Maturity Model)问世,标志着成熟度模型这个概念从软件开发更细致化到了安全领域。
新思科技(Synopsys)已连续十一年发布BSIMM——BSIMM旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反映了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8,457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
日前,新思科技软件质量与安全部门高级安全架构师杨国梁介绍了BSIMM11的一些新变化,从这些新变化中,我们可以看到安全领域的一些动向。
新思科技软件质量与安全部门高级安全架构师杨国梁
BSIMM11报告变化
杨国梁表示,BSIMM11共有130家企业进行参与,其中有五大动向,与软件开发的发展动向十分吻合。如下所示:
一,安全从左移(shift left)变成“无处不移”(shift everywhere)。杨国梁说道,近年来安全“左移”的概念被反复提及,但实际上重视安全的企业已经开始进行“左移”实践。杨国梁表示:“有些场景下可以左移,需要尽量早地检查代码问题,但有些场景,可能要到最后容器化上线时,才会根据配置进行安全检查,但已经很靠右了,会叠加很多新的安全检查内容,总的来说,并不能一味强行套用“左移”概念,只要是需要安全检查的点,都需要重视。”
“在开发的过程中加入所谓的静态检查,组件分析,威胁建模,架构分析等都体现了左移过程。除此之外,在监管运营的时会有不断的渗透测试等等测试。在部署之后,还需要针对云、容器进行测试或安全活动。 ”杨国梁说道。
二,工程技术导向的软件安全工作成功地为实现弹性的DevOps价值流贡献力量。目前软件安全主要由工程技术导向与监管治理导向两个流派。监管治理导向是有一个中央机构去制定安全策略和流程,而工程技术导向则是开发人员自发地去做DevSecOps,采取更为有效的工具,相比教条僵化的监管治理导向更加灵活化弹性化。“开发人员不拘泥于每个点该做什么安全检查,而是将安全检查变成价值导向,哪个位置做最有帮助就会在哪个位置做。”杨国梁解释道。
从21世纪初,SSG(software security group)已经出现在大型公司,专门负责公司的软件安全。在2006年之前,绝大多数其实是由监管治理导向的,中央机构对公司的策略流程及安全规范负责。监管治理导向比较侧重于合规性,检查点以及集中测试等,要求在发布之前移除所有的风险。2006年之后,以DevOps为基础的工程技术导向开发流派出现,他们更灵活,以追求快速上线、善于利用自动化工具、强调软件弹性、认可价值流测试以及认为生产环境可触碰。所以他们不会关注各种教条式、合规式的东西。
但无论哪种模式,都是在追求软件的弹性、质量和安全,所以未来将会呈现混合式的管理模式。
三,更广泛地使用CI/CD和DevOps,这也是软件行业整体的发展趋势。
四,根据在过去三年的 BSIMM模型,新思观察到了8个新的活动,这8个活动都同DevSecOps有关,这也是一个明显的增长趋势。
五,软件定义安全管理不再仅仅是一种愿望,依靠软件化、自动化、流水线等技术,将软件安全开发或测试都可以变成类似于基础设施架构的东西,而不再仅仅纯粹地依靠管控。
新鲜度与活动
为了与时俱进地体现软件安全,BSIMM模型非常看重新鲜度这个概念。如果一个企业间隔超过36个月,还没有再做一次新的BSIMM评估的话,那在今年度的BSIMM报告里面就会剔除,以确保数据是有代表性的。
另外一个则是在BSIMM观测中,共有12个实践(Practice),每个实践中有不同级别的活动(Activity),这个也不固定。如果长期观测不到某个活动,证明其不再具有代表性,就会进行剔除。同时,当观察到新活动时,也会进行增加,以代表不同趋势。通过不断演进,让模型更为准确。
如图所示,BSIMM11报告中观察的新活动,未来将有可能成为企业安全的主要活动
BSIMM的好处
BSIMM作为成熟度模型,可以用来进行多项评估,为客户软件安全开发提供强力支持。
首先,是通过视图方式,掌握软件安全方案的现状。
其次,是衡量新的软件安全方法。
第三,是评估企业自身的软件安全方案策略。
第四,是建立一个衡量软件安全方案的进展的方法。
第五,是展示软件安全的状态,利用第三方评估结果,为包括客户,合作伙伴以及监管机构在内的对象提供强力说明。
第六,收集具体细节,以向公司高层或董事会说明安全方案如何发挥作用。
随着BSIMM进入下一个十年时,软件安全问题越来越受到市场重视,软件开发模式相比以往也有了重大革新,BSIMM也在不断改进,包括改进模型,组织社区讨论等活动,以便真正可以对企业的软件安全程度给予真实的反应,帮助企业认识并改进安全策略。
上一篇:人才辈出的贝尔实验室兴衰史
下一篇:最后一页
推荐阅读
史海拾趣
|
在TOP 及3842等单端反激电路中的反馈电路很多都采用TL431,PC817作为参考、隔离、取样。现以TOPSwicth典型应用电路来说明TL431,PC817的配合问题。其电路如图1所示。 500) {this.resized=true; this.width=500; this.alt=\'这是一张缩略图,点击可放 ...… 查看全部问答∨ |
Linux是单体内核,即将图形、驱动及文件系统等功能全在操作系统内核中实现,运行在内核状态和同一地址空间,其优点是减少了进程间通信和状态切换的系统开销,获得较高的运行效率;缺点是内核比较庞大! WinCE是微内核,即在内核中实现基本功能, ...… 查看全部问答∨ |
|
void vSetMotorTimer(unsigned short uiTime)// uiTime us { RCAP2LH = uiTime; } //重新载入定时数据 void vUpdateMotorTimer(void) { T2LH=RCAP2L ...… 查看全部问答∨ |
|
|
有没有人研究过mini2440的BSP,其BSP是如何识别128M/256M等flash的? 因为我使用的是QQ2440,但是我发现最新的mini2440的BSP更新了很多驱动,我想移进去QQ2440使用,但是可惜烧写进去后不能启动。 我觉得想搞好这个bsp必须先知道如何使用其他flash时需要修改的代码,哪位高手知道的,麻烦指导下。… 查看全部问答∨ |
|
|
我是初学,最近被此问题困扰了好多天, 打开inputPanel后,改变输入法,inputPanel的高度会改变,此时如何捕获该事件。 我使用C#,开发环境vs 2005,.net CF 2.0。 希望解释能详细些,我是初学。 还有我的 ...… 查看全部问答∨ |
研究了N就,PG128128A资料到底怎么驱动,谁有能提供详细资料 12864及以下的我会,就是不会PG128128A的 邮箱 zoujun224@qq.com… 查看全部问答∨ |
|
工作到扫尾状态时,突发的想测下电流,吓了好大一跳!天啊!28mA 一直找不到原因.甚至将所有外围电路去掉,最后将片子悬空只保留电源,跑最简单的程序,也有8mA. 从程序配置到硬件连线,查了个遍,身边的人问了个遍,无解! 极度郁闷中! 附带:拿的5个样片 ...… 查看全部问答∨ |
- Wi-Fi 8规范已在路上:2.4/5/6GHz三频工作联发科在其官网发布了一份白皮书,概述了下一代Wi-Fi标准 Wi-Fi 8的部分细节。据了解,Wi-Fi 8(IEEE 802 11bn)将提供2 4GHz、5GHz和6 ...
- 治理混合多云环境的三大举措Gartner调研结果显示,81%的企业在多个公有云环境中运营,55%的企业同时还维护着私有云。在这些企业看来,使用多个提供商存在两个最主要挑 ...
- Microchip借助NVIDIA Holoscan平台加速实时边缘AI部署 PolarFire®FPGA 以太网传感器桥接器为NVIDIA边缘 AI 平台提供低功耗多传感器桥接功能为了帮助开发人员构建人工智能(AI)驱动的传感器 ...
- 是德科技 FieldFox 手持式分析仪配合 VDI 扩频模块,实现毫米波分析功能通过与Virginia Diodes Inc (VDI) 的合作,FieldFox 手持式分析仪能够支持高达170 GHz 的频率,为毫米波信号分析领域提供了一款既 ...
- 高通推出其首款 RISC-V 架构可编程连接模组 QCC74xM,支持 Wi-Fi 6 等协议11 月 14 日消息,高通本月 12 日宣布推出两款面向智能家居、智能家电等 IoT 应用的连接模组 QCC74xM 和 QCC730M。这两款模组现 ...
- Microchip推出广泛的IGBT 7 功率器件组合,专为可持续发展、电动出行和数据中心应用而设计
- 英飞凌推出新型高性能微控制器AURIX™ TC4Dx
- Rambus宣布推出业界首款HBM4控制器IP,加速下一代AI工作负载
- 恩智浦FRDM平台助力无线连接
京公网安备 11010802033920号