新思科技BSIMM 10报告发布:助力企业提升软件安全成熟度

新思科技BSIMM 10报告发布:助力企业提升软件安全成熟度

李颖坤 / 2019-10-25

新思科技所建造的软件安全构建成熟度模型 BSIMM 已更新至第十个版本,从2008年建立第一版模型开始,到如今更新的第十版,十年间新思科技通过BSIMM模型为185家公司进行了450次左右的评估工作。而在今天,热点科技有幸受邀参加新思科技举办的媒体交流会,对BSIMM 10有了更加深入的了解。

IMG_0244.jpg

BSIMM模型可以帮助企业对软件安全计划进行评估,掌握软件安全计划的现状,从而制定改进策略,最终提升其软件安全成熟度。BSIMM 在对企业进行评估后将会生成记分卡,企业还可以与同行业其它公司进行对比,来不断完善软件安全计划。

截屏2019-10-25下午6.48.08.png

在新思科技近期发布的BSIMM 10报告中,通过对122家公司的软件安全活动观察,强调了DevOps对软件安全计划的影响。这122家公司来自金融、高科技、云、医疗、物联网等多个垂直行业,其中有不少。这项报告是由7900名软件安全专家的工作成果所总结出来的精华,对超过17.3万应用程序开发工作的47万名开发人员有重要的指导作用。

截屏2019-10-25下午6.30.36.png

BSIMM 10报告中指出:

DevOps对软件安全的影响:BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出,新的活动反映了公司如何积极致力使安全活动自动化,来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例,以反映这些活动如何作为现代DevOps组织实施的一部分。

工程导向的安全文化的新浪潮:BSIMM10是第一个正式反映SSI文化发生变化的研究,工程主导的软件安全工作是由开发和运营团队自下而上驱动的,而不像在集中式软件安全小组自上而下。在一些组织中,工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现,是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。

公司采用BSIMM来为其软件安全旅程导航:BSIMM10是首个定义SSI成熟度三个阶段(兴起、发展和优化)的版本,并且描述了不同公司通常如何通过它们发展。BSIMM数据显示,随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注活动的深度、广度和规模,而不是总想着增加活动数量。

在本次媒体交流会上,我们还了解到,BSIMM是一个纯粹基于实时观察结果的模型。因此它的每次更新都是根据事件出现的趋势来决定的,简单来说,在本年度中评估的这项活动的企业如果越来越少,那么在下一年度的更新中便会去除这项活动,反之亦然。BSIMM 对119项活动进行量化,从而建立一个全面的数据模型供企业参考,这对于企业而言有重要的战略意义。


发表评论