《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > AET原創(chuàng) > BSIMM12揭示軟件開發(fā)企業(yè)安全實(shí)踐新趨勢

BSIMM12揭示軟件開發(fā)企業(yè)安全實(shí)踐新趨勢

開源,、云,、容器安全活動(dòng)增長顯著
2021-11-26
來源:新思科技
關(guān)鍵詞: 新思科技 BSIMM

編者按:日前,新思科技公司宣布發(fā)布了其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM12報(bào)告,,該報(bào)告反映了其觀察到的128家公司的軟件安全實(shí)踐,,描述了近3,000名軟件安全團(tuán)隊(duì)成員和6,000多名外圍小組成員的工作成果,揭示了目前軟件開發(fā)企業(yè)的安全實(shí)踐活動(dòng)新趨勢,。

 bm1.jpg

作為全球企業(yè)衡量軟件安全的標(biāo)尺,,BSIMM模型正在成為軟件開發(fā)企業(yè)實(shí)施安全實(shí)踐的重要參考,適用于包括金融服務(wù),、金融科技,、獨(dú)立軟件供應(yīng)商(ISV)、云,、醫(yī)療保健,、物聯(lián)網(wǎng)等多個(gè)垂直行業(yè)。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國梁先生表示,,現(xiàn)代軟件中開源組件盛行,,而且利用開源漏洞進(jìn)行的攻擊頻發(fā),BSIMM12數(shù)據(jù)表明過去兩年軟件安全企業(yè)對開源的識(shí)別和管理活動(dòng)增加了 61%,。在過去兩年中,,“對容器和虛擬化環(huán)境使用編排功能”的觀察增加了 560%。

楊國梁先生.jpg

與云平臺(tái)和容器技術(shù)相關(guān)的活動(dòng)的增長表明,,這些技術(shù)對企業(yè)如何使用和保護(hù)軟件產(chǎn)生了巨大影響,。

BSIMM12報(bào)告發(fā)現(xiàn)的新趨勢包括以下六點(diǎn)內(nèi)容。

趨勢一:影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使人們更加關(guān)注軟件安全,。

BSIMM 數(shù)據(jù)顯示,,在過去兩年中,參與評(píng)估的企業(yè)中,,進(jìn)行“識(shí)別開源代碼”活動(dòng)增加了 61%,,“創(chuàng)建 SLA 樣板文件”活動(dòng)增加了 57%。

趨勢二:企業(yè)開始學(xué)習(xí)如何將風(fēng)險(xiǎn)轉(zhuǎn)化為數(shù)據(jù),。

企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計(jì)劃數(shù)據(jù),。過去 24 個(gè)月“在內(nèi)部發(fā)布有關(guān)軟件安全的數(shù)據(jù)”活動(dòng)增加了 30%,證明了這一點(diǎn),。

趨勢三:增強(qiáng)的云安全功能,。

管理層的日益關(guān)注,再加上工程化的驅(qū)動(dòng),,使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評(píng)估他們的責(zé)任共擔(dān)模型,。過去兩年中,,與云安全相關(guān)的活動(dòng)平均有36次新觀察結(jié)果。

趨勢四:安全團(tuán)隊(duì)正在借調(diào)資源,、人員和知識(shí)用于DevSecOps活動(dòng),。

BSIMM 數(shù)據(jù)顯示,軟件安全團(tuán)隊(duì)正在從強(qiáng)制性的軟件安全行為朝著合作伙伴角色轉(zhuǎn)移——為 DevOps 實(shí)踐提供資源,、人員和知識(shí),,目的是將安全工作納入軟件交付的關(guān)鍵路徑。

趨勢五:軟件物料清單活動(dòng)增加了 367%,。

BSIMM 數(shù)據(jù)顯示專注于以下內(nèi)容的能力有所增加,,包括軟件物料清單的功能; 創(chuàng)建軟件物料清單 (BOM),; 了解軟件是如何構(gòu)建,、配置和部署的; 以及提高企業(yè)基于安全遙測重新部署的能力,。數(shù)據(jù)證明許多企業(yè)已經(jīng)重視對全面,、最新的軟件 BOM 的需求,與這些功能相關(guān)的 BSIMM 活動(dòng)(“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫存盤點(diǎn)”)在過去兩年從3次增加到14次,,增長了367%,。

趨勢六:安全“左移”變?yōu)椤盁o處不移”。

 “左移”的概念側(cè)重于在開發(fā)過程中更早地進(jìn)行安全測試,。 “無處不移”將安全測試擴(kuò)展到在整個(gè)軟件生命周期中持續(xù)進(jìn)行,,包括盡早進(jìn)行更小、更快,、管道驅(qū)動(dòng)的安全測試,,這可能是在設(shè)計(jì)階段,甚至在生產(chǎn)階段,。

從維護(hù)傳統(tǒng)的運(yùn)營庫存轉(zhuǎn)向自動(dòng)化資產(chǎn)發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無處不移”活動(dòng),,例如使用容器來強(qiáng)制實(shí)施安全控制、編排和掃描基礎(chǔ)設(shè)施即代碼,。 BSIMM 觀察到更多活動(dòng),,諸如“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫存盤點(diǎn)”、“對容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建”等活動(dòng),,都證明了上述趨勢,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。