深度丨新思科技BSIMM10帮你定位软件安全的行业坐标

　　在这个数字化转型和不断变化的时代，构建安全优质的软件比以往任何时候都更具挑战性。要想通过协调一致的方式灌输、测量、管理和改善软件安全活动，就需要执行软件安全计划（SSI）。
　　此外，还必须确保SSI与您的动态开发环境保持同步，其中包括开发方法、DevOps文化、部署环境、监管要求、供应链、软件发布周期等等。要做到这一点，需要了解SSI的现状，以及用于创建改进策略和确定SSI更改优先级的数据。
　　新思科技软件安全构建成熟度模型（BSIMM）就是一种基准测试工具，通过数据驱动的客观方式展示当前软件安全性活动的概况。日前，新思科技发布了其最新版本的软件安全构建成熟度模型（BSIMM）BSIMM10。该模型旨在帮助企业规划、执行、完善和评估其软件安全计划（SSIs）。
　　新思软件质量与安全部门高级安全架构师杨国梁
　　2019年10月25日，新思科技在上海举办了一场媒体通报会，新思软件质量与安全部门高级安全架构师杨国梁分享了最新款的BSIMM10的改进和优良特性。他指出，BSIMM属于软件安全领域的描述性模型，与规定性模型不同的是，描述性模型BSIMM并不会告诉你针对软件安全该怎么做，只是客观描述现实世界每家公司所做的工作。实际就相当于一个行业报告，企业可以参照其中的数据来定位自己的坐标，考核自己的软件安全计划（SSI）大致在一个什么水准，是否需要做改进和进一步提升等等。
　　在过去的十年里，新思科技采用BSIMM对185家公司进行了约450次评估，第十个版本反应了观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。
　　BSIMM10描述了7，900名软件安全专家的工作成果，这些成果对参与超过17。3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业，包括金融服务、高科技、独立软件供应商（ISVs），云、医疗保健、物联网、保险及零售业。
　　MassMutual企业信息风险管理总监JimRouth表示：自2008年起，BSIMM就作为评估各种类型和规模的组织的有效工具，包括全球一些先进的安全团队正采用其软件安全策略。最新的BSIMM数据反映了有多少家组织正调整其方法来应对现代开发和部署实践的新动态，比如缩短发布周期、增加自动化的使用和软件定义的基础架构。
　　BSIMM10报告的主要发现包括：
　　DevOps对软件安全的影响：BSIMM数据显示DevOps的发展以及持续集成和持续交付（CICD）工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出，新的活动反映了公司如何积极致力使安全活动自动化，来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例，以反映这些活动如何作为现代DevOps组织实施的一部分。
　　工程导向的安全文化的新浪潮：BSIMM10是第一个正式反映SSI文化发生变化的研究，工程主导的软件安全工作是由开发和运营团队自下而上驱动的，而不像在集中式软件安全小组自上而下。在一些组织中，工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现，是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。
　　公司采用BSIMM来为其软件安全旅程导航：BSIMM10是首个定义SSI成熟度三个阶段（兴起、发展和优化）的版本，并且描述了不同公司通常如何通过它们发展。BSIMM数据显示，随着时间的推移，企业得到了明显改进，许多企业均已达到了一定的成熟度，以至于他们开始关注活动的深度、广度和规模，而不是总想着增加活动数量。
　　新思科技首席科学家SammyMigues表示：领导一个有效的软件安全计划是富有挑战性的，而DevOps和CICD带来的巨大技术和组织变革并没有使这项任务变得更加容易。作为不断发展以反映全球数百个软件安全小组的经验的工具，无论你是刚刚开始你的软件安全旅程，寻求优化程序或者应对新的挑战，BSIMM以及社区都是宝贵的资源。
　　BSIMM包括的数据是从真正建立SSIs的公司收集而来，量化了119项活动的发生，来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的，涵盖该模型所描述的全部12项实践中各种各样的活动。组织可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。