將安全深度融入SDLC 新思科技BSIMM9為軟體護航

【賽迪網訊】在大部分人的印象中，安全就是加密、防護等功能，其實安全遠不止這些。更加沒有什麼神奇的功能可以一蹴而就，一下子就把安全問題解決掉。如果想真正落實安全，就必須要有前期和後期的投入，貫穿整個軟體的生命週期。

新思科技軟體質量與安全部門管理顧問Olli Jarva和新思科技軟體質量與安全部門高階安全架構師楊國樑在日前舉辦的媒體交流會上，正式對外發布最新版軟體安全構建成熟度模型——BSIMM9。並且，與會期間對BSIMM報告進行了詳細闡述以及對BSIMM9的最新亮點進行系統的介紹。

將安全深度融入整個軟體開發生命週期（ SDLC ）

新思科技軟體質量與安全部門高階安全架構師楊國樑表示：“軟體設計和非功能性方面是同樣至關重要的。安全不光是後續的活動，比如僱傭一些白帽黑客來做一些測試，或者疊加一些防火牆之類的手段就可以解決。前期在設計時也會引入大量問題，而這類問題需要在實施的階段就考慮，才能把安全的問題解決好。”

新思科技軟體質量與安全部門高階安全架構師 楊國樑

楊國樑認為：“漏洞和缺陷佔比為50/50。漏洞，其實就是寫程式碼的時候可能埋進去的一些bug；缺陷就是設計的時候就沒設計好這個產品，導致它邏輯上就有問題。所以不能完全指望一些測試工具，或者一些第三方的機構能夠幫你通過測試的方法解決所有的安全問題。像這些設計類的問題，還要通過一些比如架構分析、建模等等，在前期就做好這些規劃，才能很好的規避質量和安全問題。如果要研發出高質量、安全可靠的軟體，新思科技推薦把安全深度融入到整個軟體開發生命週期(SDLC)。”

BSIMM: 軟體安全評估的可靠標準  

新思科技的軟體安全構建成熟度模型BSIMM旨在幫助企業規劃、執行並評估其軟體安全計劃(SSIs)。 BSIMM於2008年開始釋出，BSIMM9是軟體安全構建成熟度模型(BSIMM)的第九個版本，收集了120家企業過去10年的真實資料。BSIMM9強調了雲轉型的影響和軟體安全社群的發展，並且在資料庫中納入了新的垂直行業 - 零售業。

楊國樑介紹：“BSIMM9描述了7,800多名軟體安全專家的工作成果，展現了軟體安全最佳實踐模組背後的科學性。這些成果對41.5萬名開發人員有指導作用，幫助他們最大化地保障產品的安全性。而這些開發人員參與約13.5萬應用程式的開發工作，參與BSIMM9調研的企業來自有代表性的垂直行業，包括金融服務、獨立軟體供應商(ISVs)，雲、醫療衛生、物聯網、保險及零售業。 ”

據悉，BSIMM對已經建立真正軟體安全計劃的企業進行觀察，描述了116項可付諸實踐的活動，通過量化不同企業的做法，能夠同時發現許多企業的共同點以及彰顯個性的不同之處。BSIMM資料顯示成熟度高的安全計劃很全面，開展了所有12個實踐模組中的多項活動。企業可以憑藉BSIMM對軟體安全計劃進行比較，由此決定哪些活動是可能有用的，可以支援其整體策略實施。

新思科技軟體質量與安全部門管理顧問 Olli Jarva

新思科技軟體質量與安全部門管理顧問Olli Jarva表示：“BSIMM提供真實的資料參照，已經成為評估和改進軟體安全計劃的可靠標準。憑藉BSIMM，使用者可以將自己的軟體安全計劃與世界上其它一些成熟的公司作對比。BSIMM9凝聚了新思科技10年來在軟體安全領域觀察工作的結晶，彙集了該領域最大規模的客觀資料。”

雲轉型、不同垂直行業應用、擴大評估群體規模，是BSIMM9報告的亮點和新發現，Olli Jarva介紹：

雲轉型：企業正在將其工作負載和開發流程遷移到雲端，這種模式轉變需要採取不同的軟體安全措施。新思科技在評估過程中發現了三種直接或間接與雲轉型有關的新活動並將它們加入到BSIMM報告。此外，在獨立軟體供應商、物聯網公司和雲端計算公司（三個最突出的垂直行業）觀察到的多種活動已開始融合，這表明通用雲架構需要類似的軟體安全方法。 Ÿ  

BSIMM 應用在不同垂直行業： BSIMM可用來比較同一行業以及不同垂直行業之間的軟體安全計劃。 BSIMM9資料中納入了一個新的垂直行業——零售業。隨著電子商務模式的崛起，保持軟體安全對促進零售業健康發展至關重要，因此軟體安全計劃在這個行業的發展相對更快一些。零售業在安全方面已經比醫療保健和保險業更加成熟。 Ÿ  

評估群體規模擴大：BSIMM8收集的資料來自109家公司，BSIMM9增加到120家。它所涵蓋的開發人員數量增長了43％，其評估的軟體安全從業人員數量增長了65％。BSIMM規模的大幅提升也反映了軟體安全正在成為日益重要的優先事項。

BSIMM 助力企業實現目標

向客戶、合作伙伴和監管機構展示其軟體安全狀態， 獲得預算和資源，評估軟體安全計劃成熟度， 評估企業自身的軟體安全計劃策略，建立一個衡量軟體安全計劃進展的方法，是BSIMM 助力企業實現的五大目標。

目標一：在平常的工作過程中，不論是客戶、供應商、合作伙伴，甚至行業內的一些監管機構，都需要你向他們解釋自己在軟體安全方面做了哪些事情。怎麼把自己做的事情說清楚，甚至雙方溝通之間會不會有一些誤差，雙方理解的意思是否相同等等，此時最需要的就是一個獨立的第三方評估的體系。

如果有BSIMM的評估得分，對方就可以很清楚地看到在這100多個活動上，在不同的等級上，做了什麼事情，沒做什麼事情，得分情況如何。從而，可以行之有效的向客戶、合作伙伴和監管機構展示其軟體安全狀態。

目標二：通過BSIMM的評估，告訴領導和審批的人哪方面做的還欠缺，還不夠，哪方面確實是需要加強的。同時，對於業務部門獲得預算來說，也有一個比較正面的幫助。

目標三：預算花出去了，總歸要見成效。通過兩次不同的BSIMM評估，就可以知道預算花出之後，對於想改進的地方是否得到了提升。當做第二次BSIMM評估之後，就可以明顯的看到這個預算花的有沒有用，如果有用的話，改進了多少，都可以通過評估軟體安全計劃成熟度，一目瞭然的看到。

目標四：BSIMM最大的亮點就可以可以幫助企業制定軟體安全計劃策略，可以有計劃地通知哪個方面需要提高，BSIMM就可以有專注性或者有方向性的幫助企業提高一些安全建議。

目標五：每一家企業都想成為一個行業的領導者，但是怎樣做到？自己現在又處在什麼位置？可以通過BSIMM衡量軟體安全計劃進展的方法，把自己和競爭對手、行業的平均水平做一個區分，這對於提升企業本身的競爭力，將有很好的幫助。