【賽迪網訊】如何讓自己的軟件更安全是許多企業(yè)必須持續(xù)思考的永恒課題,而打造安全可靠的軟件離不開嚴謹科學的軟件安全構建評估模型。
新思科技作為一家深耕軟件安全的科技公司,自2008年首次發(fā)布新思科技軟件安全構建成熟度模型(BSIMM)以來,近日新思科技全新發(fā)布了BSIMM的第十二個版本——BSIMM12。為此,在新思科技BSIMM12媒體采訪會上,新思科技軟件質量與安全部門高級安全架構師楊國梁詳細介紹了BSIMM12的一些基本情況,并分享了新思科技從事軟件安全方案評估十多年以來的思考。
BSIMM12的要點所在
在重點介紹BSIMM12之前,楊國梁首先談到了新思科技持續(xù)做BSIMM報告的初心。他指出,BSIMM模型從一開始就完整地考慮了整個軟件安全計劃的方方面面,創(chuàng)建了以企業(yè)實際活動為基礎的描述性模型。楊國梁著重強調了BSIMM模型定期收集數據以保持數據新鮮度。除此之外,新思科技還創(chuàng)建了社區(qū)以分享最新發(fā)現,并推動軟件安全計劃的業(yè)務轉型。
楊國梁總結了最新的BSIMM12版本的要點。他指出,影響廣泛的勒索軟件和軟件供應鏈中斷促使軟件安全日益受到關注,來自勒索軟件的攻擊以及供應鏈的中斷風險都在威脅著企業(yè)的軟件安全。
他還指出企業(yè)正在學習如何將風險轉化為數據,使風險可視化,幫助針對軟件安全的決策設計。此次發(fā)布的BSIMM12版本還增強了云安全功能,在其中加強了容器編排和容器安全問題的處理。楊國梁還認為安全團隊正在為DevOps實踐提供資源、人員和知識。安全團隊的主要職能將從傳統(tǒng)的集中管控與合規(guī)管理向賦能DevOps團隊轉變。
楊國梁還談到了一個新的趨勢,即軟件物料清單關注度提升。他指出現在在軟件行業(yè)內也在推行Software BOM(SBOM)的概念。為了加強對供應商提供產品的安全管理,需要通過運營物料清單增強應用庫存盤點來加強安全監(jiān)管。
利用BSIMM達成目標
楊國梁強調BSIMM并不是一套方法論或者指導性的模型,而是衡量安全活動的標尺。
楊國梁談到了BSIMM如何幫助客戶達成安全相關的目標,他將其總結為六點:掌握SSI的現狀,提供可視性;衡量新的軟件安全方法;評估企業(yè)自身的軟件安全方案策略;建立一個衡量軟件安全方案進展的方法;展示軟件安全狀態(tài)(向客戶、合作伙伴和監(jiān)管機構);收集具體細節(jié),以向公司高層或董事會說明安全方案如何發(fā)揮作用。
他認為BSIMM模型不僅可以幫助客戶達成供應鏈的安全目標,還可以對監(jiān)管機構進行展示、自證。
安全團隊面臨的挑戰(zhàn)
楊國梁還指出了安全團隊面臨的主流挑戰(zhàn)。首先是擁抱數字化轉型及云技術,由于企業(yè)數字化轉型的過程中涉及到大量云相關的技術,因此亟需保證這種技術的安全性。相關的安全問題還有基礎設施即代碼的安全問題,以及容器鏡像的管理、基礎設施的管理問題等等。
第二是為工程團隊及AppSec團隊搭建橋梁。他認為必須要建立起開發(fā)團隊和安全團隊之間的橋梁,要建立起幫助雙方相互理解的模式。
第三是向“無處不移”轉變。具體來說,他認為安全活動不能只是一味追求“左移”(shift left)。最近兩年由于容器技術的興起,導致一些安全活動只能在容器里部署的階段才監(jiān)控,還要適度地向“右移”(shift right),向部署階段、監(jiān)控階段進行安全活動。除了這些之外,公司各個環(huán)節(jié)都有相應的安全工作,所以它從“左移”(shift left)變成“無處不移”(shift everywhere)的趨勢。
第四是DevSecOps的問題,他指出越來越多的企業(yè)開始采用DevSecOps高生產力兼顧安全的模型,而在DevSecOps的過程中如何確保效率以及安全也是一種挑戰(zhàn)。
第五是大規(guī)模工作的可視性。楊國梁認為,在海量的代碼之下如何確保得到相應的數據尤其是與安全相關的數據,以及利用這些數據指導工作開展是十分困難的。
第六是管理供應鏈風險。他認為安全團隊必須緊密關注供應鏈的每一個環(huán)節(jié),并做好相應的管控,避免出現供應鏈遭受攻擊的情況。
他還介紹了新思科技的Intelligent Orchestration平臺,該平臺能夠把一些從流程導向的傳統(tǒng)安全活動,逐漸轉變?yōu)閺娘L險導向的。
而當被問及BSIMM在國內企業(yè)中的適用范圍時,楊國梁表示,我們不挑行業(yè),某個行業(yè)如果到了一定的規(guī)模,新思就會對這個行業(yè)推出它的評估平均值的蛛網圖報告。但由于在實踐過程中實際上并不是所有企業(yè)都奔著得滿分去的,因此評判BSIMM模型的適用范圍的真正標準實際上是是否對企業(yè)有益處,或者說在安全評估方面有無需求。(文/徐培炎)
