《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 應(yīng)用安全的十二個(gè)最低參照基準(zhǔn)

應(yīng)用安全的十二個(gè)最低參照基準(zhǔn)

2020-10-09
來(lái)源:安全牛

  應(yīng)用程序安全方法論和最佳實(shí)踐已經(jīng)有十多年的歷史,,其中“安全開發(fā)成熟度模型”(BSIMM)是被企業(yè)采用多年,用來(lái)跟蹤安全開發(fā)成熟度進(jìn)度的重要模型,。上周,,Synopsys發(fā)布了基于BSIMM11模型的報(bào)告,對(duì)基于金融服務(wù),、軟件,、云計(jì)算和醫(yī)療等9個(gè)垂直行業(yè)的130家公司的軟件安全實(shí)踐進(jìn)行了分析,揭示了以下四個(gè)應(yīng)用安全趨勢(shì):

  ·工程導(dǎo)向的軟件安全性工作正在成功地推動(dòng)DevOps價(jià)值流追求彈性,;

  ·軟件定義的安全治理不再只是抱負(fù),;

  ·安全性正在成為質(zhì)量實(shí)踐的一部分,而質(zhì)量實(shí)踐則被視為可靠性的一部分,,而這一切都是為了追求彈性,;

  ·“左移”正變成“無(wú)處不在”,。

  BSIMM11模型將121種不同的軟件安全性指標(biāo)歸納為四個(gè)主要領(lǐng)域:治理、情報(bào),、安全軟件開發(fā)生命周期(SSDL)接觸點(diǎn)和部署,,企業(yè)可通過(guò)模型的專有標(biāo)準(zhǔn)對(duì)軟件安全實(shí)踐進(jìn)行衡量。上述每個(gè)領(lǐng)域都可進(jìn)一步細(xì)分為三個(gè)實(shí)踐類別,,其中包含從簡(jiǎn)單到非常成熟的眾多活動(dòng),。

微信圖片_20201009113052.jpg

  與先前的報(bào)告類似,BSIMM11分析顯示,,大多數(shù)企業(yè)都達(dá)到了基本要求,,包括執(zhí)行外部滲透測(cè)試以及在整個(gè)開發(fā)過(guò)程中進(jìn)行基本軟件安全培訓(xùn)之類的活動(dòng)。

  以下,,是BSIMM11報(bào)告中企業(yè)安全開發(fā)實(shí)踐中最常見的十二項(xiàng)活動(dòng)(上圖),,可以作為企業(yè)保持行業(yè)安全同步的最低參照基準(zhǔn):

  治理:策略和指標(biāo)

  活動(dòng):實(shí)施生命周期治理

  組織中最常見的基礎(chǔ)活動(dòng)之一是實(shí)施生命周期治理,其中包括發(fā)布條件,,例如入口,、檢查點(diǎn)、圍欄和里程碑,。根據(jù)BSIMM11,,有90%的組織已實(shí)施生命周期治理。而且許多組織正走得更遠(yuǎn),,并且也執(zhí)行治理策略,。例如,47%的組織還通過(guò)度量和跟蹤異常來(lái)驗(yàn)證發(fā)布條件,。

  治理:合規(guī)與政策

  活動(dòng):確定PII(個(gè)人身份信息)義務(wù)

  大約86%的組織可通過(guò)明確其對(duì)個(gè)人身份信息(PII)的義務(wù)來(lái)滿足法規(guī)要求,。這是最常見的合規(guī)性活動(dòng),同時(shí),,有72%的組織能在所有監(jiān)管標(biāo)準(zhǔn)中統(tǒng)一其觀點(diǎn)和實(shí)踐,。BSIMM11表明,隨著時(shí)間的推移,,組織也將通過(guò)履行其義務(wù)來(lái)逐步提高其合規(guī)能力,。在過(guò)去兩年中,積極在其應(yīng)用程序組合中建立受保護(hù)的PII存儲(chǔ)庫(kù)的企業(yè)的數(shù)量已增加了10個(gè)百分點(diǎn),,達(dá)到42%,。同樣,在同一時(shí)間范圍內(nèi),,實(shí)施和跟蹤合規(guī)控制措施的組織所占比例從36%上升到47%,。

  治理:培訓(xùn)

  活動(dòng):進(jìn)行安全意識(shí)培訓(xùn)

  在組織范圍內(nèi)進(jìn)行某種形式的安全意識(shí)培訓(xùn)已成為企業(yè)應(yīng)用開發(fā)組織的行業(yè)規(guī)范,但即便如此仍然有很多企業(yè)未能遵守,。據(jù)BSIMM11稱,,只有大約64%的企業(yè)對(duì)其軟件相關(guān)人員進(jìn)行了至少一個(gè)安全意識(shí)入門課程的培訓(xùn),,即使這些課程是針對(duì)特定受眾量身定制。同時(shí),,針對(duì)特定角色的安全意識(shí)培訓(xùn)已經(jīng)很常見,,但還尚未成為主流,只有29%的組織從事此活動(dòng),。

  情報(bào):攻擊模型

  活動(dòng):創(chuàng)建數(shù)據(jù)分類方案和清單

  當(dāng)今,,大多數(shù)軟件組織在威脅建模、開發(fā)濫用案例以及攻擊者思維方面的成熟度還很低,。據(jù)BSIMM11報(bào)告,只有63%以上的組織能夠做到這方面的最低要求,,即通過(guò)創(chuàng)建數(shù)據(jù)分類方案和清單,,根據(jù)存儲(chǔ)的數(shù)據(jù)和對(duì)攻擊者的吸引力來(lái)優(yōu)先考慮應(yīng)用程序的重要性或風(fēng)險(xiǎn)級(jí)別。同時(shí),,只有8%的組織建立了與潛在攻擊者相關(guān)的攻擊模式和濫用案例,,在過(guò)去幾年中,這一比例一直保持穩(wěn)定,。

  情報(bào):安全功能和設(shè)計(jì)

  活動(dòng):集成并提供安全功能

  為了滿足安全性可重復(fù)的需求,,許多組織接受了提供主動(dòng)指導(dǎo)和代碼以提供預(yù)先批準(zhǔn)的安全性功能的實(shí)踐,這些安全性功能包括以模塊方式提供的功能,,例如身份驗(yàn)證,、角色管理和加密。這樣,,開發(fā)人員不必每次在項(xiàng)目中添加這些標(biāo)準(zhǔn)功能時(shí)重新發(fā)明車輪,。根據(jù)BSIMM11,大約78%的組織參與了此應(yīng)用安全活動(dòng),。在安全功能和設(shè)計(jì)方面,,仍有很大的發(fā)展空間。例如,,盡管許多組織向開發(fā)團(tuán)隊(duì)提供這些功能資源,,但只有11%強(qiáng)制要求使用規(guī)定列表或存儲(chǔ)庫(kù)中的批準(zhǔn)的安全功能和框架。

  情報(bào):標(biāo)準(zhǔn)和要求

  活動(dòng):將合規(guī)性約束轉(zhuǎn)換為需求

  認(rèn)識(shí)到開發(fā)人員不是法規(guī)遵從專家(這也不是他們的本職工作),,當(dāng)今許多安全組織正在承擔(dān)將諸如PCI DSS標(biāo)準(zhǔn)之類的內(nèi)容解釋為軟件需求的重任,。根據(jù)BSIMM11,今天大約有72%的組織在這樣做,。將近72%的組織創(chuàng)建了安全標(biāo)準(zhǔn),,以解釋從基于身份的身份驗(yàn)證到如何配置開發(fā)人員基礎(chǔ)結(jié)構(gòu)的所有事務(wù)遵守企業(yè)策略的必需方法。

  SSDL接觸點(diǎn):架構(gòu)分析

  活動(dòng):執(zhí)行安全功能審查

  根據(jù)BSIMM11,,現(xiàn)在大約88%的組織會(huì)對(duì)所開發(fā)的軟件執(zhí)行某種安全功能審查,。通常,,這仍然是大多數(shù)組織分析其軟件體系結(jié)構(gòu)安全性的唯一方法,但是業(yè)界正在此基礎(chǔ)上發(fā)展,。在過(guò)去的兩年中,,對(duì)高風(fēng)險(xiǎn)應(yīng)用程序進(jìn)行設(shè)計(jì)審查的組織所占的比例已提高了5個(gè)百分點(diǎn),達(dá)到32%,。

  SSDL接觸點(diǎn):代碼審查

  活動(dòng):使用自動(dòng)化工具以及手動(dòng)審核

  DevSecOps運(yùn)動(dòng)和安全擁護(hù)者的多年倡導(dǎo),,提高了業(yè)界對(duì)代碼審查過(guò)程自動(dòng)化的重視。據(jù)BSIMM11稱,,出于效率和一致性的考慮,,現(xiàn)在將近77%的組織將靜態(tài)分析合并到代碼審查過(guò)程中。對(duì)自動(dòng)化的使用更是五花八門,,有些組織將自動(dòng)化審查構(gòu)建到代碼管理或交付管道工作流程中,。但是,這些代碼審查工具并不是始終如一地強(qiáng)制執(zhí)行,。只有38%的組織要求所有項(xiàng)目都必須進(jìn)行代碼審查,。

  SSDL接觸點(diǎn):安全性測(cè)試

  活動(dòng):確保質(zhì)量檢查支持邊緣/邊界值條件測(cè)試

  代碼審查只是對(duì)已部署軟件的安全性進(jìn)行可靠審查的第一步。其他安全性測(cè)試(例如黑盒測(cè)試)可檢測(cè)軟件構(gòu)建過(guò)程中的漏洞,。據(jù)BSIMM11稱,,至少有八成組織的質(zhì)量檢查團(tuán)隊(duì)超出了功能測(cè)試范圍,可以執(zhí)行基本的對(duì)抗性測(cè)試,,并探查簡(jiǎn)單的邊緣情況和邊界條件,。但是在其他許多方面仍然有很大的發(fā)展空間。例如,,只有32%的組織將黑盒安全工具集成到質(zhì)量檢查流程中,。

  部署:滲透測(cè)試

  活動(dòng):使用外部滲透測(cè)試人員來(lái)發(fā)現(xiàn)問(wèn)題

  使用外部滲透測(cè)試人員是大多數(shù)軟件團(tuán)隊(duì)進(jìn)行滲透測(cè)試的必選項(xiàng)。根據(jù)BSIMM11,,近88%的人使用外部滲透測(cè)試人員來(lái)提供代碼和配置中可利用漏洞的證據(jù),。此外,有77%的企業(yè)將這些測(cè)試的結(jié)果用于漏洞管理和緩解系統(tǒng),,并有68%的人通過(guò)紅隊(duì)測(cè)試和其他內(nèi)部引導(dǎo)的滲透測(cè)試來(lái)作為外部滲透測(cè)試結(jié)果的備份,。

  部署:軟件環(huán)境

  活動(dòng):確保主機(jī)和基礎(chǔ)網(wǎng)絡(luò)安全措施到位

  BSIMM11發(fā)現(xiàn),主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)安全措施是所有組織中最常見的軟件安全措施,。大約93%的組織表示首先要確保的是運(yùn)行軟件的數(shù)據(jù)中心和網(wǎng)絡(luò)資產(chǎn)的安全性,,因?yàn)樵搱?bào)告指出:“在主機(jī)和網(wǎng)絡(luò)的安全性沒(méi)有確保之前,談?wù)搼?yīng)用安全性就像先穿鞋后穿襪子,?!?/p>

  部署:配置管理和漏洞管理

  活動(dòng):創(chuàng)建事件響應(yīng)或與事件響應(yīng)交互

  盡管許多組織在跟蹤和修復(fù)軟件錯(cuò)誤方面非常掙扎,但至少83%的企業(yè)已在開發(fā)人員和安全事件響應(yīng)人員之間建立了某種形式的接口。此外,,有78%的受訪者還報(bào)告說(shuō),,他們通過(guò)運(yùn)行監(jiān)控發(fā)現(xiàn)了軟件缺陷,并將其反饋給開發(fā)人員,。但是,,更高級(jí)的活動(dòng)(例如使用運(yùn)營(yíng)中識(shí)別的錯(cuò)誤信息來(lái)運(yùn)行軟件事件響應(yīng)模擬,以改善安全軟件開發(fā)生命周期)仍然難以實(shí)現(xiàn),,只有8%的人從事這項(xiàng)活動(dòng),。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。