[摘要]多年以前,美国FBI的前CIO被请来与国内用户交流。然而,盛名之下,谈的却只是一些大家所熟知的寻常安全技术。 多年以前,美国FBI的前CIO被请来与国内用户交流。然而,盛名之下,谈的却只是一些大家所熟知的寻常安全技术。追问之下,对方告知,中国国内企业与国外先进企业的安全差距,更多地是在策略层面。换句话说,安全策略的缺失,才是国内企业在安全领域急需补上的一课。然而,在此后的很长时间里,“什么是安全策略”这个问题却一直似是而非。在这样的背景之下,新思科技BSIMM的出现才尤为值得我们关注。因为这一次,安全策略实实在在地来了。 BSIMM的全称是软件安全构建成熟度模型,尽管它已经发展到了第十个版本,但在国内可能却少为人知。新思科技位列世界第15大软件公司,并荣选美国标准普尔500指数成分股龙头企业,但因为所处领域较为专业,所以行业外的人对它并没有太多了解。 BSIMM是新思科技对现实世界中软件安全计划开展多年研究的结果,是基于从122家企业中观察到的数据直接构建而成。BSIMM将参与测试的企业的计划与其他公司正在开展的软件安全工作方面的信息进行比较和对比,然后可以确定参与测试公司与行业整体软件安全水平的差距。 软件安全是一个系统工程,而远不止是一组安全功能而已,安全性是整个系统的天然特质,敏捷、CI / CD和DevOps既不是软件不安全的原因,也不是应该更安全的单一的解决方案,因此要想获得安全的软件,必须与SDLC(软件开发生命周期)进行深度集成。因此,BSIMM真正的价值,一是它来自众多一线企业的安全最佳实践,二就是它贯穿了整个软件开发生命周期。 新思科技软件质量与门高级安全架构师杨国梁介绍说:“企业参与过BSIMM并非一劳永逸,我们会把超过36个月没做过评估的公司都给剔除掉,因为这些公司的安全活动已不具备代表性。这样就可以让我们保持数据的新鲜度。” 谈起BSIMM的内涵,杨国梁进一步解释说:“BSIMM最初于2008年开始建立,十多年的时间里它已演进到第十版。内容上它包括治理(Governance)、情报(Intelligence)、SSDL触点、部署(Deployment)四个领域 ,其中又有12个实践的模块。这些模块放在一起,就构建起了庞大的软件安全框架(software security framework,SSF)。BSIMM更像是一把标尺,而非一个类似于指导性概览的东西。利用它,用户就可以通过和同行的安全活动进行对比,从而找出改进的方向。也可以看清,大量与安全相关的资源投入进去了以后,被花在哪,到底有没有产生效果。” 在IT领域中,有一些认证是为认证而认证,而与之不同,BSIMM却是一项实用性极强的评估模型,因为进行BSIMM评估的过程中,进行的不仅是测试,还有相应的改进和治理。 杨国梁介绍说:“拿其中SSDL触点领域的Code Review环节举例,企业的应用软件可能在开发过程中没有采用开源软件,但却可能集成了合作伙伴的系统,而合作伙伴的系统中应用了开源软件。但并非所有的开源软件都可以无偿使用,以我们熟知的GPL开源协议为例,世界上已经有2600多种GPL协议,可能开发商了解不了这么多。当遇上专利骗子时,就可能会吃亏。” 针对这些问题,杨国梁进一步介绍说:“应对这些问题,新思科技有一系列的工具可以帮到软件开发商,像Coverity静态代码分析、Black Duck软件组件分析等工具,都可以帮助软件开发商避免类似问题。” 从这个角度去观察,我们就会发现:BSIMM测试只是一个起点,当发现问题之后,制定相应的安全策略和规划,参与安全培训,利用托管服务和各类集成工具,才构成了一个真正的软件安全闭环。 不得不提的是,BSIMM本身是开源的,报告本身也是公开的,只有预约专门的咨询师进行软件安全测试时,才会产生费用。这样,小众的BSIMM不由得让我们想到了IT治理领域的标准ITIL。原因在于ITIL在初入国内时,同样经历过小众而不为人们理解的阶段。但用户的需求是IT技术和方最大的推动力,时至今日,ITIL在国内IT治理领域已占据了地位。与IT治理领域不同的是,软件安全是一个变化更快的领域,所需要的也必然是一个更为动态的标准。 关于BSIMM的动态性,杨国梁介绍说:“BSIMM10与BSIMM9相比,有三大重点改进:BSIMM10强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段(兴起、发展和优化)前行。BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。工程主导的软件安全工作是由开发和运营团队自下而上驱动的,而不像在集中式软件安全小组自上而下。同时,BSIMM数据显示,随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注活动的深度、广度和规模,而不是总想着增加活动数量。”由此可见,BSIMM一直在将软件行业中的各种新趋势纳入自己的视野,从而了技术先进性。 还有一点需要注意,就是BSIMM模型的数据来自新思科技的客户,这些客户都走在了软件安全行列的头部。在新思科技的客户中,全球前20家的商业银行中,有9家是新思科技的客户。而软件提供商中,位居前十位的全是新思科技的客户。此外,在国防、航空航天行业中,位在前十位的公司中有八家是新思科技的客户。这样,BSIMM10描述了7,900名软件安全专家的工作,这些对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自各个垂直行业,包括金融服务、高科技、软件供应商(ISVs),云、医疗保健、物联网、保险及零售业。 面对这些数字,在安全策略方面先天不足的国内企业,有什么理由不重视BSIMM这样的先进工具,采用弯道超车的策略,在软件安全领域迎头赶上呢?手掌痣的位置与命运
|