BSIMM11都有哪些新发现？

时间：2022-04-18 05:06:01 | 来源：行业动态

时间：2022-04-18 05:06:01 来源：行业动态

BSIMM评估包含12项实践与4大领域，涵盖软件开发过程里面涉及到的方方面面，比如培训情况、合规能力、测试的能力、架构分析、安全工程设计，甚至包括渗透测试、攻击模型、代码审查等。从2008年以来，新思科技总共对211家企业开展了大概500次左右的BSIMM的测评，而BSIMM11反映了130家企业中的观察到的软件的活动。

杨国梁还特别指出，BSIMM11的企业数为什么不是211家所有的企业，因为BSIMM有一个概念叫数据的新鲜度。如果一个企业间隔超过36个月没有再做一次新的BSIMM评估，那在今年度的BSIMM报告里面就会把它剔除掉。因为三年前的数据已经不具备代表性，所以说BSIMM能够代表当下的最新情况。

BSIMM11表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例，报告发现的新趋势包括：

中央监管式的管理导向和工程技术导向是企业两种软件管理文化流派，中央监管式是强调规范、合规、检查点、集中测试等，而工程技术导向更关注软件安全度、价值流测试、自动化为先等。其实两种流派有着共同的目标，那就是弹性、质量、安全。工程技术导向的软件安全工作正在成功地为实现弹性的DevOps价值流贡献力量。

BSIMM11表明，持续集成和持续交付（CI/CD）工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。

软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

安全左移变为无处不移。左移概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧（较早期）的安全测试现在大多数情况下可能是在右侧（偏后期，包括生产阶段）。现在软件开发部署模型的每个阶段都有了更多安全活动的开展。

云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异：金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队，因此，与医疗保健和保险行业相比，拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据，并发现它与金融服务的追踪非常接近，主要的差异（有利于金融科技）体现在培训、安全测试和代码审查实践中。

软件的自动化趋势越来越明显，在过去的一年中，添加到BSIMM10中的三个活动取得了惊人的增长（SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性）。这反映了一些企业如何积极加速软件安全工作，以适应软件交付的速度。此外，BSIMM11中添加的两个活动显示了这一趋势在延续（ST3.6自动实施事件驱动的安全性测试，CMVM3.6发布可部署工件的风险数据）。

杨国梁表示，在过去三年的BSIMM的模型中，我们观察到了8个新的活动，而这8个新的活动其实都跟我们说的DevSecOps有关，所以DevSecOps也是一个明显的增长趋势。BSIMM模型在不断的演进过程中，也在不断反映新的软件安全活动。