軟件安全構(gòu)建成熟度模型BSIMM9 現(xiàn)已上線

新思科技最新報(bào)告突出了云轉(zhuǎn)型的影響和軟件安全社區(qū)的發(fā)展

今時(shí)今日，軟件可謂無處不在。然而安全漏洞問題也層出不窮。因此，制定一個(gè)行之有效的軟件安全計(jì)劃至關(guān)重要。當(dāng)然，由于需求、資源、專業(yè)知識(shí)等因素各不相同，每家企業(yè)的軟件安全計(jì)劃也各有不同。但是，相信所有企業(yè)都可以從使用同一個(gè)測(cè)量標(biāo)桿中受益。量化實(shí)際軟件安全計(jì)劃開展的活動(dòng)，可以幫助更廣大的軟件安全社區(qū)計(jì)劃、實(shí)施和衡量自己的計(jì)劃。新思科技的軟件安全構(gòu)建成熟度模型BSIMM是其中一種測(cè)量標(biāo)桿。

美國(guó)新思科技公司(Synopsys, Nasdaq: SNPS)發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型——BSIMM9。該模型旨在幫助企業(yè)規(guī)劃、執(zhí)行并評(píng)估其軟件安全計(jì)劃(SSIs)。BSIMM9是軟件安全構(gòu)建成熟度模型(BSIMM)的第九個(gè)版本，收集了120家企業(yè)過去10年的真實(shí)數(shù)據(jù)。BSIMM9強(qiáng)調(diào)了云轉(zhuǎn)型的影響和軟件安全社區(qū)的發(fā)展，并且在數(shù)據(jù)庫(kù)中納入了新的垂直行業(yè) - 零售業(yè)。

甲骨文公司旗下云ERP系統(tǒng)NetSuite基礎(chǔ)設(shè)施和安全高級(jí)副總裁Brian Chess博士表示：開發(fā)、安全和運(yùn)營(yíng)團(tuán)隊(duì)需要步調(diào)一致，BSIMM9提供的數(shù)據(jù)表明這是通過自動(dòng)化進(jìn)行的，特別是當(dāng)軟件遷移到云端時(shí)。這是朝著正確方向邁出的巨大一步：同時(shí)提高速度和安全性。”

BSIMM9描述了7,800多名軟件安全專家的工作成果，展現(xiàn)了軟件安全最佳實(shí)踐模塊背后的科學(xué)性。這些成果對(duì)41.5萬名開發(fā)人員有指導(dǎo)作用，幫助他們最大化地保障產(chǎn)品的安全性。這些開發(fā)人員參與約13.5萬應(yīng)用程序的開發(fā)工作。參與BSIMM9調(diào)研的企業(yè)來自有代表性的垂直行業(yè)，包括金融服務(wù)、獨(dú)立軟件供應(yīng)商(ISVs)，云、醫(yī)療衛(wèi)生、物聯(lián)網(wǎng)、保險(xiǎn)及零售業(yè)。

BSIMM9 報(bào)告的主要發(fā)現(xiàn)包括：

云轉(zhuǎn)型：企業(yè)正在將其工作負(fù)載和開發(fā)流程遷移到云端 - 這種模式轉(zhuǎn)變需要采取不同的軟件安全措施。新思科技在評(píng)估過程中發(fā)現(xiàn)了三種直接或間接與云轉(zhuǎn)型有關(guān)的新活動(dòng)并將它們加入到BSIMM報(bào)告。此外，在獨(dú)立軟件供應(yīng)商、物聯(lián)網(wǎng)公司和云計(jì)算公司（三個(gè)最突出的垂直行業(yè)）觀察到的多種活動(dòng)已開始融合，這表明通用云架構(gòu)需要類似的軟件安全方法。

BSIMM應(yīng)用在不同垂直行業(yè)：BSIMM可用來比較同一行業(yè)以及不同垂直行業(yè)之間的軟件安全計(jì)劃。 BSIMM9數(shù)據(jù)中納入了一個(gè)新的垂直行業(yè)——零售業(yè)。隨著電子商務(wù)模式的崛起，保持軟件安全對(duì)促進(jìn)零售業(yè)健康發(fā)展至關(guān)重要，因此軟件安全計(jì)劃在這個(gè)行業(yè)的發(fā)展相對(duì)更快一些。零售業(yè)在安全方面已經(jīng)比醫(yī)療保健和保險(xiǎn)業(yè)更加成熟。

評(píng)估規(guī)模擴(kuò)大：BSIMM8收集的數(shù)據(jù)來自109家公司，BSIMM9增加到120家。參加BSIMM9評(píng)估的軟件安全從業(yè)人員數(shù)量增長(zhǎng)了65％，開發(fā)人員數(shù)量增長(zhǎng)了43％。BSIMM規(guī)模的大幅提升也反映了軟件安全正在成為日益重要的優(yōu)先事項(xiàng)。

新思科技安全技術(shù)部副總裁Gary McGraw博士表示：“BSIMM提供真實(shí)的數(shù)據(jù)參照，已經(jīng)成為評(píng)估和改進(jìn)軟件安全計(jì)劃的可靠標(biāo)準(zhǔn)。憑借BSIMM，用戶可以將自己的軟件安全計(jì)劃與世界上其它一些成熟的公司作對(duì)比。BSIMM9凝聚了新思科技10年來在軟件安全領(lǐng)域觀察工作的結(jié)晶，匯集了該領(lǐng)域最大規(guī)模的客觀數(shù)據(jù)?！?/p>

BSIMM對(duì)已經(jīng)建立真正軟件安全計(jì)劃的企業(yè)進(jìn)行觀察，描述了116項(xiàng)可付諸實(shí)踐的活動(dòng)，通過量化不同企業(yè)的做法，能同時(shí)發(fā)現(xiàn)許多企業(yè)的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數(shù)據(jù)顯示成熟度高的安全計(jì)劃很全面，開展了所有12個(gè)實(shí)踐模塊中的多項(xiàng)活動(dòng)。企業(yè)可以憑借BSIMM對(duì)軟件安全計(jì)劃進(jìn)行比較，由此決定哪些活動(dòng)是可能有用的，可以支持其整體策略實(shí)施。