尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
日前,新思科技發布了其最新版本的軟體安全構建成熟度模型(BSIMM)報告——BSIMM11,調研結果顯示,許多企業正在調整其軟體安全計劃,以支持數字化轉型和DevOps等現代軟體開發范例。
BSIMM模型是新思科技軟體質量與安全部門推出的面向軟體開發安全領域的調研活動,旨在幫助企業規劃、執行、評估和完善其軟體安全計劃(SSI)。BSIMM11反應了觀察到的130家公司的軟體安全活動,覆蓋多個垂直行業,包括金融服務、金融科技、獨立軟體供應商(ISV)、雲、醫療保健、物聯網、保險及零售等。
BSIMM11描述了8,457名軟體安全專家的工作成果,這些成果對超過49萬名開發人員有指導作用。
新思科技軟體質量與安全部門高級安全架構師楊國梁在接受記者採訪時表示,此次發布的BSIMM11報告裡,企業在保證軟體開發安全的措施出現了新趨勢。
趨勢一:工程技術導向的軟體安全工作正在成功地為實現彈性的 DevOps 價值流貢獻力量。
BSIMM11數據表明,持續集成和持續交付(CI/CD)工具和運維編排已成為一些企業軟體安全方案的常規操作,並且正在影響SSI的組織、設計和執行方式。例如,軟體安全團隊越來越多地向技術小組或首席技術官匯報工作(而不是IT安全團隊或首席資訊安全官),並且正在改變內部招募和組織人才的方式。
趨勢二:軟體定義的安全管理不再僅僅是一種願景。
企業採用由CI/CD管道執行中的事件觸發的自動化活動替代一些摩擦性高的帶外(out-of-band)數據安全活動。將人員流程和決策轉換為算法是企業越來越多地解決資源約束和節奏管理問題的方法之一。
趨勢三:安全「左移」變為「無處不移」。
「左移」概念的實現已從在軟體開發周期中較早地執行一些安全測試的字面解釋演變為在有待檢查的工件可用時立即執行安全活動。這可能意味著在過去我們認為在左側(較早期)的安全測試現在大多數情況下可能是在右側(偏後期,包括生產階段)。
趨勢四:在BSIMM裡引入金融科技垂直行業的數據。
在仔細審查了金融行業中不斷增長的公司數據池後,很明顯有必要添加一個專門面向金融服務的ISV單獨的垂直行業。
新的調研報告顯示,在過去的一年中,添加到BSIMM10中的三個安全措施(SM3.4 集成軟體定義生命周期管理、AM3.3 監控自動化資產創建工作和CMVM3.5 自動驗證運營基礎運維安全性),採用的企業數量取得了驚人的增長。這反映了一些企業如何積極加速軟體安全工作,逐漸向DevSecOps的轉變,以適應軟體交付的速度。
此外,BSIMM11又添加了兩個來自企業的兩個新安全措施(ST3.6 自動實施事件驅動的安全性測試,CMVM3.6 發布可部署工件的風險數據),而這顯示了上述趨勢在延續。
雲、物聯網和高科技公司是BSIMM11數據池中最成熟的三個垂直行業。BSIMM11還強調了三個受到高度監管的行業之間的差異:金融服務、醫療保健和保險。金融服務行業比其他行業更早地組建軟體安全團隊,因此與醫療保健和保險行業相比,擁有更為成熟的軟體安全實踐。
因此,BSIMM11首次歸納金融科技行業的數據,並發現它與金融服務的追蹤非常接近,主要的差異(有利於金融科技)體現在培訓、安全測試和代碼審查實踐中。
你 「在看」嗎?如果喜歡,請點擊
