飞象网讯(章芳/文)软件安全在软件开发过程中的重要性日趋凸显。尤其是现在大量企业上云、在线电商发展迅猛、移动支付成风,稍有不慎就会导致用户钱财受损和信息泄露。怎样高效评估软件的安全性是开发人员的头等大事。
“工欲善其事,必先利其器。”越来越多的企业选择借助于现成的工具来测量和评估其软件安全计划。新思科技软件质量与安全部门管理顾问Olli Jarva 和高级安全架构师杨国梁接受飞象网记者采访时表示,新思科技的软件安全构建成熟度模型——BSIMM,旨在帮助企业规划、执行并评估其软件安全计划(SSIs),BSIMM已经成为评估软件安全的事实标准。
软件安全不简单
Olli Jarva指出,软件安全远不止是一组安全功能,软件设计的非功能性方面同样至关重要。通常漏洞和缺陷占比为50/50,安全性是整个系统的突现特性,要获得安全的软件,必须与SDLC(软件开发生命周期)进行深度集成。
新思科技软件质量与安全部门管理顾问Olli Jarva
据他介绍,市场上使用最多的是微软的安全开发生命周期SDL和OWASP CLASP,强调的是“应该如何做”,是规定性模型。而BSIMM是描述性模型,描述实际发生了什么,记录观察结果,可以描述和评估多种规定性方法。
据悉,BSIMM于2008年由Cigital公司开发,2016年被新思科技收购。通过观察和分析全球杰出的SSI的真实数据,帮助企业理解、衡量和规划SSI。2013年,华为产品与解决方案部门采用了新思科技的BSIMM评估。
经过五年BSIMM评估,其整个软件开发生命周期(SDLC)的安全成熟得到提高。根据最新的BSIMM评估,在BSIMM框架实践中,华为超过了全球行业平均标准。例如,华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。
BSIMM成衡量软件是否安全的标尺
除了华为,高通、SONY、VMware等知名企业也参与了BSIMM的评估。最新数据,BSIMM评估过167家公司,收集了120家企业的软件安全计划真实数据,已经累计有389次独立评估,有42个软件安全计划至少被评估过两次或以上(每家公司五次)。
借助于从120家企业收集到的原始数据,不仅可以了解企业与同行相比处于什么状态,而且也可以了解他们在软件安全性方面的投资如何随着时间的推移而发展。这种历史性的理解反过来可以帮助他们的组织机构预测未来的最新技术将体现在什么方面,然后相应地权衡他们的投资。“BSIMM是衡量软件安全性的标尺,也是了解软件安全性行业过去及未来的最佳途径。”杨国梁如是说。
新思科技软件质量与安全部门高级安全架构师杨国梁
与此同时,参与BSIMM的120家企业共同组成了BSIMM社区。这个拥有将近600名成员的专属在线社区平台给软件安全人员提供了一个论坛。BSIMM社区还组织召开年度专属会议,迄今为止已经召开过15次BSIMM社区会议,其中8次在美国召开,7次在欧洲召开。
十年结晶,BSIMM9闪亮登场
近日,新思科技发布最新版的软件安全构建成熟度模型——BSIMM9,这是BSIMM的第九个版本,收集了120家企业过去10年的真实数据,该模型可以向后兼容。
据了解,BSIMM9整合了所收集的有关软件安全性的最大规模数据集。其描述了7,800多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。
相较于BSIMM8,BSIMM9有三大亮点:一是将与云转型有关的新活动加入到BSIMM报告;二是BSIMM9数据中纳入了一个新的垂直行业——零售业;三是评估群体规模扩大,BSIMM8收集的数据来自109家公司,BSIMM9增加到120家。
最后,Olli Jarva总结了BSIMM的价值所在:“通过BSIMM评估结果,可以向客户、合作伙伴和监管机构展示软件安全状态。根据BSIMM评估结果,找出不足从而改善,向公司申请预算和资源。通过BSIMM,可以评估软件安全计划成熟度,评估企业自身的软件安全计划策略,建立一个衡量软件安全计划进展的方法。”