加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

新思科技:軟件安全之旅需要借助“他山之石”

2023/01/12
1228
閱讀需 6 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

隨著全球數(shù)字化轉(zhuǎn)型的不斷深入,軟件安全也迎來了高速發(fā)展期。只有建立可信、健全的軟件安全保障體系,才能筑牢數(shù)字經(jīng)濟(jì)網(wǎng)絡(luò)安全屏障。

中國正在把發(fā)展經(jīng)濟(jì)的著力點(diǎn)放在實(shí)體經(jīng)濟(jì)上,加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國。同時(shí),數(shù)字經(jīng)濟(jì)與各種產(chǎn)業(yè)疊加,賦予數(shù)字化力量,可以提升實(shí)體經(jīng)濟(jì)的產(chǎn)業(yè)優(yōu)勢(shì),促進(jìn)產(chǎn)業(yè)邁向高質(zhì)量。對(duì)此,新思科技強(qiáng)調(diào),數(shù)字賦能,安全先行。把安全貫穿在數(shù)字經(jīng)濟(jì)發(fā)展的全過程,才能行穩(wěn)致遠(yuǎn)。軟件安全不會(huì)一蹴而就,而是一個(gè)旅程,需要借鑒“他山之石”,取長補(bǔ)短。

當(dāng)然,他人的經(jīng)驗(yàn)并非都有普適性。雖然出發(fā)點(diǎn)是好的,但是如果采納了不適合自身的軟件安全建議,或者盲目跟隨某家企業(yè)的軟件安全計(jì)劃,可能會(huì)導(dǎo)致?lián)p失。一旦不法分子發(fā)現(xiàn)其中的缺陷和漏洞,就可以竊取知識(shí)產(chǎn)權(quán)、員工和客戶的個(gè)人信息、清空公司銀行賬戶、破壞建筑的安保,甚至通過勒索軟件來破壞企業(yè)運(yùn)營。

在如今數(shù)字化轉(zhuǎn)型的大環(huán)境中,每個(gè)企業(yè)在本質(zhì)上都是一家軟件公司。因此軟件風(fēng)險(xiǎn)很大程度上等同于業(yè)務(wù)風(fēng)險(xiǎn)。在競(jìng)爭(zhēng)激烈且充滿不確定性的市場(chǎng)環(huán)境中,企業(yè)應(yīng)該對(duì)軟件安全建議謹(jǐn)慎求證,才能確定是否應(yīng)該采取后續(xù)行動(dòng)。

如果從一兩家公司的軟件安全計(jì)劃中找不到合適的參照,那100多家呢?基于大量的真實(shí)數(shù)據(jù),描述哪些方案是有效的,哪些是失敗的,更重要的是行業(yè)在發(fā)生什么變化,已經(jīng)采取了哪些安全舉措以更高效地響應(yīng)這些變化,進(jìn)而構(gòu)建可信軟件。

這也是自2008年開始,全球有數(shù)百家企業(yè)參加軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估的原因。這其中也不乏中國企業(yè),比如OPPO、聯(lián)想和浪潮參加了新思科技最新的BSIMM13評(píng)估。

BSIMM是免費(fèi)及開放的標(biāo)準(zhǔn),廣泛適用于各行業(yè)。BSIMM 軟件安全框架(SSF)包含四個(gè)領(lǐng)域 — 治理、 情報(bào)、 SSDL 觸點(diǎn)和部署,涵蓋250項(xiàng)軟件安全計(jì)劃,觀察企業(yè)如何將安全性構(gòu)建到軟件開發(fā)中,以應(yīng)對(duì)不斷變化的數(shù)字威脅環(huán)境。通過這種數(shù)據(jù)驅(qū)動(dòng)的視角,BSIMM可全面評(píng)估企業(yè)軟件安全小組的成熟度,并創(chuàng)建用于衡量其計(jì)劃成熟度的軟件安全計(jì)分卡。

除了評(píng)估和計(jì)分卡,BSIMM還為多樣化的成員社區(qū)搭建交流橋梁,大家可以互動(dòng)、學(xué)習(xí)行業(yè)最佳實(shí)踐、獲得對(duì)不斷變化的商業(yè)環(huán)境的新見解,并參加線下活動(dòng),以促進(jìn)更緊密的聯(lián)系和合作。

無論您是正在制定軟件安全計(jì)劃,還是已經(jīng)開始維護(hù)成熟的計(jì)劃,根據(jù)BSIMM13數(shù)據(jù),都應(yīng)該考慮實(shí)施以下措施:

  • 自動(dòng)化軟件安全工具到位。無論是用于靜態(tài)或動(dòng)態(tài)測(cè)試還是軟件組成分析,這些工具都可以識(shí)別并幫助修復(fù)關(guān)鍵軟件中的缺陷、漏洞和惡意代碼,無論是內(nèi)部開發(fā)的軟件、商業(yè)第三方軟件還是開源軟件。
  • 基于數(shù)據(jù)驅(qū)動(dòng)安全決策。使用安全測(cè)試工具收集數(shù)據(jù)、合并數(shù)據(jù),然后使用這些數(shù)據(jù)制定和實(shí)施軟件安全策略。收集有關(guān)執(zhí)行了哪些測(cè)試以及發(fā)現(xiàn)了哪些問題的數(shù)據(jù),以推動(dòng)同時(shí)改進(jìn)軟件開發(fā)生命周期(SDLC)和治理流程。
  • 向自動(dòng)化安全測(cè)試和決策轉(zhuǎn)變。從人力資源密集的人工方式轉(zhuǎn)變?yōu)楦恢?、更高效、可重?fù)性更強(qiáng)的自動(dòng)化方法。
  • 在SDLC中向規(guī)模更小的自動(dòng)檢測(cè)轉(zhuǎn)變。在檢查軟件時(shí),盡一切可能通過規(guī)模更小、速度更快、管道驅(qū)動(dòng)的測(cè)試替代滲透測(cè)試或人工代碼審查等手動(dòng)活動(dòng)。
  • 盡早創(chuàng)建全面的軟件物料清單(SBOM)。SBOM中應(yīng)包括企業(yè)的資產(chǎn)清單以及開源和第三方代碼清單。

BSIMM13觀察到的其中一個(gè)趨勢(shì)是軟件供應(yīng)鏈風(fēng)險(xiǎn)管理興起。就在幾年前,這還是安全社區(qū)的邊緣話題。現(xiàn)在,可能由于近期比較頻繁的供應(yīng)鏈攻擊事件影響,管理軟件供應(yīng)鏈風(fēng)險(xiǎn)(最常見的是通過識(shí)別和保護(hù)開源軟件來執(zhí)行)成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報(bào)告顯示,與控制開源風(fēng)險(xiǎn)相關(guān)的活動(dòng)增加了 51%,通過構(gòu)建和維護(hù)SBOM以對(duì)其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。

在BSIMM13中,最引人注目的數(shù)字或許是0。數(shù)據(jù)表明,在130家參與評(píng)估的企業(yè)中,沒有一家的軟件安全小組具有完全相同的架構(gòu)。沒有一個(gè)所謂“最好”的途徑可以構(gòu)建出成熟的軟件安全應(yīng)用。但我們有著共同的目標(biāo):構(gòu)建可信的軟件。

BSIMM并不規(guī)定企業(yè)需要采取何種路徑。而是幫助企業(yè)能夠根據(jù)其自身的風(fēng)險(xiǎn)概況和優(yōu)先級(jí)制定合適的計(jì)劃,以提升軟件安全成熟度。

新思科技中國區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國梁

BSIMM13

相關(guān)推薦

電子產(chǎn)業(yè)圖譜