新思科技BSIMM 10報告發(fā)布：助力企業(yè)提升軟件安全成熟度

李穎坤 / 2019-10-25 18:5565268

新思科技所建造的軟件安全構建成熟度模型 BSIMM 已更新至第十個版本，從2008年建立第一版模型開始，到如今更新的第十版，十年間新思科技通過BSIMM模型為185家公司進行了450次左右的評估工作。而在今天，熱點科技有幸受邀參加新思科技舉辦的媒體交流會，對BSIMM 10有了更加深入的了解。

BSIMM模型可以幫助企業(yè)對軟件安全計劃進行評估，掌握軟件安全計劃的現狀，從而制定改進策略，最終提升其軟件安全成熟度。BSIMM 在對企業(yè)進行評估后將會生成記分卡，企業(yè)還可以與同行業(yè)其它公司進行對比，來不斷完善軟件安全計劃。

截屏2019-10-25下午6.48.08.png

在新思科技近期發(fā)布的BSIMM 10報告中，通過對122家公司的軟件安全活動觀察，強調了DevOps對軟件安全計劃的影響。這122家公司來自金融、高科技、云、醫(yī)療、物聯網等多個垂直行業(yè)，其中有不少。這項報告是由7900名軟件安全專家的工作成果所總結出來的精華，對超過17.3萬應用程序開發(fā)工作的47萬名開發(fā)人員有重要的指導作用。

截屏2019-10-25下午6.30.36.png

BSIMM 10報告中指出:

DevOps對軟件安全的影響：BSIMM數據顯示DevOps的發(fā)展以及持續(xù)集成和持續(xù)交付(CI/CD)工具正在影響公司實現軟件安全性的方式。這在BSIMM新增的三個活動中可以看出，新的活動反映了公司如何積極致力使安全活動自動化，來配合將業(yè)務功能推向市場的速度。BSIMM10也包括更新的描述和現有活動的示例，以反映這些活動如何作為現代DevOps組織實施的一部分。

工程導向的安全文化的新浪潮：BSIMM10是第一個正式反映SSI文化發(fā)生變化的研究，工程主導的軟件安全工作是由開發(fā)和運營團隊自下而上驅動的，而不像在集中式軟件安全小組自上而下。在一些組織中，工程主導的安全文化克服了建立和發(fā)展有意義的軟件安全工作的困難。工程導向的安全文化新浪潮的出現，是應對諸如敏捷和DevOps之類的現代軟件交付實踐的需求以及現有SSIs不希望產生的摩擦。

公司采用BSIMM來為其軟件安全旅程導航：BSIMM10是首個定義SSI成熟度三個階段（興起、發(fā)展和優(yōu)化）的版本，并且描述了不同公司通常如何通過它們發(fā)展。BSIMM數據顯示，隨著時間的推移，企業(yè)得到了明顯改進，許多企業(yè)均已達到了一定的成熟度，以至于他們開始關注活動的深度、廣度和規(guī)模，而不是總想著增加活動數量。

在本次媒體交流會上，我們還了解到，BSIMM是一個純粹基于實時觀察結果的模型。因此它的每次更新都是根據事件出現的趨勢來決定的，簡單來說，在本年度中評估的這項活動的企業(yè)如果越來越少，那么在下一年度的更新中便會去除這項活動，反之亦然。BSIMM 對119項活動進行量化，從而建立一個全面的數據模型供企業(yè)參考，這對于企業(yè)而言有重要的戰(zhàn)略意義。

點個贊734