【賽迪網(wǎng)訊】如何讓自己的軟件更安全是許多企業(yè)必須持續(xù)思考的永恒課題���,而打造安全可靠的軟件離不開(kāi)嚴(yán)謹(jǐn)科學(xué)的軟件安全構(gòu)建評(píng)估模型����。
新思科技作為一家深耕軟件安全的科技公司�����,自2008年首次發(fā)布新思科技軟件安全構(gòu)建成熟度模型(BSIMM)以來(lái)�����,近日新思科技全新發(fā)布了BSIMM的第十二個(gè)版本——BSIMM12。為此�����,在新思科技BSIMM12媒體采訪(fǎng)會(huì)上,新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁詳細(xì)介紹了BSIMM12的一些基本情況�,并分享了新思科技從事軟件安全方案評(píng)估十多年以來(lái)的思考�����。
BSIMM12的要點(diǎn)所在
在重點(diǎn)介紹BSIMM12之前,楊國(guó)梁首先談到了新思科技持續(xù)做BSIMM報(bào)告的初心。他指出����,BSIMM模型從一開(kāi)始就完整地考慮了整個(gè)軟件安全計(jì)劃的方方面面�,創(chuàng)建了以企業(yè)實(shí)際活動(dòng)為基礎(chǔ)的描述性模型���。楊國(guó)梁著重強(qiáng)調(diào)了BSIMM模型定期收集數(shù)據(jù)以保持?jǐn)?shù)據(jù)新鮮度���。除此之外���,新思科技還創(chuàng)建了社區(qū)以分享最新發(fā)現(xiàn)���,并推動(dòng)軟件安全計(jì)劃的業(yè)務(wù)轉(zhuǎn)型�。
楊國(guó)梁總結(jié)了最新的BSIMM12版本的要點(diǎn)。他指出,影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使軟件安全日益受到關(guān)注�����,來(lái)自勒索軟件的攻擊以及供應(yīng)鏈的中斷風(fēng)險(xiǎn)都在威脅著企業(yè)的軟件安全�����。
他還指出企業(yè)正在學(xué)習(xí)如何將風(fēng)險(xiǎn)轉(zhuǎn)化為數(shù)據(jù)�����,使風(fēng)險(xiǎn)可視化��,幫助針對(duì)軟件安全的決策設(shè)計(jì)��。此次發(fā)布的BSIMM12版本還增強(qiáng)了云安全功能,在其中加強(qiáng)了容器編排和容器安全問(wèn)題的處理�。楊國(guó)梁還認(rèn)為安全團(tuán)隊(duì)正在為DevOps實(shí)踐提供資源、人員和知識(shí)����。安全團(tuán)隊(duì)的主要職能將從傳統(tǒng)的集中管控與合規(guī)管理向賦能DevOps團(tuán)隊(duì)轉(zhuǎn)變����。
楊國(guó)梁還談到了一個(gè)新的趨勢(shì)��,即軟件物料清單關(guān)注度提升����。他指出現(xiàn)在在軟件行業(yè)內(nèi)也在推行Software BOM(SBOM)的概念�。為了加強(qiáng)對(duì)供應(yīng)商提供產(chǎn)品的安全管理��,需要通過(guò)運(yùn)營(yíng)物料清單增強(qiáng)應(yīng)用庫(kù)存盤(pán)點(diǎn)來(lái)加強(qiáng)安全監(jiān)管����。
利用BSIMM達(dá)成目標(biāo)
楊國(guó)梁強(qiáng)調(diào)BSIMM并不是一套方法論或者指導(dǎo)性的模型���,而是衡量安全活動(dòng)的標(biāo)尺���。
楊國(guó)梁談到了BSIMM如何幫助客戶(hù)達(dá)成安全相關(guān)的目標(biāo),他將其總結(jié)為六點(diǎn):掌握SSI的現(xiàn)狀�����,提供可視性;衡量新的軟件安全方法��;評(píng)估企業(yè)自身的軟件安全方案策略�;建立一個(gè)衡量軟件安全方案進(jìn)展的方法����;展示軟件安全狀態(tài)(向客戶(hù)��、合作伙伴和監(jiān)管機(jī)構(gòu))����;收集具體細(xì)節(jié),以向公司高層或董事會(huì)說(shuō)明安全方案如何發(fā)揮作用。
他認(rèn)為BSIMM模型不僅可以幫助客戶(hù)達(dá)成供應(yīng)鏈的安全目標(biāo)����,還可以對(duì)監(jiān)管機(jī)構(gòu)進(jìn)行展示、自證��。
安全團(tuán)隊(duì)面臨的挑戰(zhàn)
楊國(guó)梁還指出了安全團(tuán)隊(duì)面臨的主流挑戰(zhàn)。首先是擁抱數(shù)字化轉(zhuǎn)型及云技術(shù)�,由于企業(yè)數(shù)字化轉(zhuǎn)型的過(guò)程中涉及到大量云相關(guān)的技術(shù),因此亟需保證這種技術(shù)的安全性���。相關(guān)的安全問(wèn)題還有基礎(chǔ)設(shè)施即代碼的安全問(wèn)題�,以及容器鏡像的管理、基礎(chǔ)設(shè)施的管理問(wèn)題等等���。
第二是為工程團(tuán)隊(duì)及AppSec團(tuán)隊(duì)搭建橋梁�����。他認(rèn)為必須要建立起開(kāi)發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的橋梁�,要建立起幫助雙方相互理解的模式��。
第三是向“無(wú)處不移”轉(zhuǎn)變���。具體來(lái)說(shuō)���,他認(rèn)為安全活動(dòng)不能只是一味追求“左移”(shift left)。最近兩年由于容器技術(shù)的興起�,導(dǎo)致一些安全活動(dòng)只能在容器里部署的階段才監(jiān)控�,還要適度地向“右移”(shift right),向部署階段�����、監(jiān)控階段進(jìn)行安全活動(dòng)。除了這些之外����,公司各個(gè)環(huán)節(jié)都有相應(yīng)的安全工作,所以它從“左移”(shift left)變成“無(wú)處不移”(shift everywhere)的趨勢(shì)�����。
第四是DevSecOps的問(wèn)題���,他指出越來(lái)越多的企業(yè)開(kāi)始采用DevSecOps高生產(chǎn)力兼顧安全的模型����,而在DevSecOps的過(guò)程中如何確保效率以及安全也是一種挑戰(zhàn)�����。
第五是大規(guī)模工作的可視性����。楊國(guó)梁認(rèn)為,在海量的代碼之下如何確保得到相應(yīng)的數(shù)據(jù)尤其是與安全相關(guān)的數(shù)據(jù)���,以及利用這些數(shù)據(jù)指導(dǎo)工作開(kāi)展是十分困難的�。
第六是管理供應(yīng)鏈風(fēng)險(xiǎn)����。他認(rèn)為安全團(tuán)隊(duì)必須緊密關(guān)注供應(yīng)鏈的每一個(gè)環(huán)節(jié)����,并做好相應(yīng)的管控��,避免出現(xiàn)供應(yīng)鏈遭受攻擊的情況�����。
他還介紹了新思科技的Intelligent Orchestration平臺(tái),該平臺(tái)能夠把一些從流程導(dǎo)向的傳統(tǒng)安全活動(dòng)����,逐漸轉(zhuǎn)變?yōu)閺娘L(fēng)險(xiǎn)導(dǎo)向的��。
而當(dāng)被問(wèn)及BSIMM在國(guó)內(nèi)企業(yè)中的適用范圍時(shí)���,楊國(guó)梁表示,我們不挑行業(yè)����,某個(gè)行業(yè)如果到了一定的規(guī)模���,新思就會(huì)對(duì)這個(gè)行業(yè)推出它的評(píng)估平均值的蛛網(wǎng)圖報(bào)告。但由于在實(shí)踐過(guò)程中實(shí)際上并不是所有企業(yè)都奔著得滿(mǎn)分去的���,因此評(píng)判BSIMM模型的適用范圍的真正標(biāo)準(zhǔn)實(shí)際上是是否對(duì)企業(yè)有益處,或者說(shuō)在安全評(píng)估方面有無(wú)需求���。(文/徐培炎)
