2012年9月發(fā)布的《在成熟模型中構(gòu)建安全》（BSIMM）的第四版本被媒體大肆宣傳，BSIMM4包含對(duì)英特爾和富達(dá)案件的詳細(xì)的案例分析。筆者認(rèn)為BSIMM的重要性在于—它是唯一可用于衡量軟件安全計(jì)劃的數(shù)據(jù)驅(qū)動(dòng)模型。BSIMM從事實(shí)出發(fā)，詳細(xì)描述軟件安全狀態(tài)。

但BSIMM沒有提供直接的建議來指導(dǎo)你的公司如何處理軟件安全問題。誠然，絕大多數(shù)企業(yè)才剛剛開始面對(duì)軟件安全，他們將受益于多年（集體）直接經(jīng)驗(yàn)的可操作性指導(dǎo)。

根據(jù)在該行業(yè)多年的經(jīng)驗(yàn)以及四年解譯BSIMM數(shù)據(jù)的經(jīng)驗(yàn)，筆者提出了軟件安全十誡。

軟件安全十誡：規(guī)范性指導(dǎo)

1、你應(yīng)該通過軟件安全組（SSG）來建立軟件安全計(jì)劃（SSI）。

2、你應(yīng)該依賴采用BSIMM的風(fēng)險(xiǎn)管理和客觀測(cè)量來定義SSI的成功來確定SSI的成功，而不是“前十名列表”和漏洞數(shù)量。

3、你應(yīng)該與企業(yè)高管溝通，直接將SSI的成功與業(yè)務(wù)價(jià)值聯(lián)系，并與公司的競(jìng)爭(zhēng)對(duì)手作比較。

4、你應(yīng)該創(chuàng)建和采用SSDL方法，如微軟SDL或者Cigital Touchpoints，這些方法整合了安全控制（包括架構(gòu)風(fēng)險(xiǎn)分析、代碼審查和滲透測(cè)試）以及比他們自己運(yùn)行的工具還更了解軟件安全的人員。

5、你不應(yīng)該將軟件安全活動(dòng)僅限于技術(shù)SDLC活動(dòng)，尤其是滲透測(cè)試。

6、你應(yīng)該為你的SSG發(fā)展培養(yǎng)軟件安全專家（因?yàn)橹車鷽]有足夠的合格專家）。

7、你應(yīng)該關(guān)注來自業(yè)務(wù)、運(yùn)營和事件響應(yīng)人員的情報(bào)信息，并相應(yīng)地調(diào)整SSI控制。

8、你應(yīng)該仔細(xì)追蹤你的數(shù)據(jù)，并指導(dǎo)數(shù)據(jù)的位置，無論你的架構(gòu)多么云計(jì)算化。

9、你不能單純地依靠安全特性與功能來構(gòu)建安全的軟件，因?yàn)榘踩钦麄€(gè)系統(tǒng)的新興資產(chǎn)，它依賴于正確地建立和整合所有部分。

10、你應(yīng)該修復(fù)已識(shí)別的軟件問題：漏洞和缺陷。#p#

關(guān)于軟件安全十誡的一些解釋和理由，按照先后順序。

通過軟件安全組（SSG）來建立軟件安全計(jì)劃（SSI）。BSIMM的51家企業(yè)都有一個(gè)活躍的軟件安全組。如果沒有軟件安全組，是不太可能建立可行的軟件安全計(jì)劃（迄今為止，在該領(lǐng)域沒有出現(xiàn)過例外），所以，在你開始軟件安全活動(dòng)前，創(chuàng)建一個(gè)軟件安全組。軟件安全組有各種規(guī)模和形態(tài)，所有好的軟件安全組都應(yīng)該包含具有深度編碼經(jīng)驗(yàn)的人和具有架構(gòu)經(jīng)驗(yàn)的人。代碼審查是非常重要的最佳實(shí)踐，而執(zhí)行代碼審查，你必須完全理解代碼（更不用說大量的安全漏洞）。然而，最佳代碼審查人員有時(shí)候是非常糟糕的軟件架構(gòu)師，要求他們執(zhí)行架構(gòu)風(fēng)險(xiǎn)分析只會(huì)讓他們一片茫然。請(qǐng)確保你的軟件安全組中有架構(gòu)人員以及代碼人員。滲透測(cè)試同樣如此，滲透測(cè)試需要以聰明的方式入侵事物（但通常不具有深度編碼技能）。最后，軟件安全組將需要對(duì)數(shù)百名開發(fā)人員進(jìn)行培訓(xùn)和指導(dǎo)，并直接與他們合作。溝通能力、教學(xué)能力以及良好的咨詢都是必備技能，至少對(duì)于部分軟件安全組工作人員而言。

依賴采用BSIMM的風(fēng)險(xiǎn)管理和客觀測(cè)量來定義SSI的成功，而不是“前十名名單”和漏洞數(shù)量。太多軟件安全專業(yè)人士將軟件安全視為“打地鼠”式的漏洞查找。企業(yè)應(yīng)該意識(shí)到，發(fā)現(xiàn)漏洞并不沒有創(chuàng)建安全的軟件，也不能以此與管理層溝通。事實(shí)上，面對(duì)不斷擴(kuò)大的安全問題清單，只會(huì)讓高層管理人員感到更加沮喪。如果你將所有時(shí)間花費(fèi)在查找漏洞上，而不花時(shí)間來修復(fù)這些漏洞，這根本是徒勞無功。同樣地，如果你花時(shí)間來修復(fù)安全漏洞，但又反復(fù)發(fā)現(xiàn)同樣的漏洞，這仍然是徒勞。幸運(yùn)的是，BSIMM為軟件安全計(jì)劃提供了一個(gè)極好的測(cè)量標(biāo)桿。你可以將你的軟件安全計(jì)劃中的活動(dòng)與同行進(jìn)行對(duì)比，以確定你是遙遙領(lǐng)先、排在中間，還是最后（不要讓自己淪為倒數(shù)）。BSIMM測(cè)量提供了對(duì)軟件安全計(jì)劃的詳細(xì)快照，這讓高層管理人員很容易理解。一些領(lǐng)先的企業(yè)使用BSIMM測(cè)量來追蹤進(jìn)展情況，并為設(shè)置軟件安全計(jì)劃戰(zhàn)略提供真實(shí)的數(shù)據(jù)。對(duì)于你的企業(yè)而言，需要何種程度的軟件安全性？這個(gè)問題問得好。所幸的是，一些你的同行可能知道。

與企業(yè)高管溝通時(shí)，直接將SSI的成功與業(yè)務(wù)價(jià)值相聯(lián)系，并與公司的競(jìng)爭(zhēng)對(duì)手作比較。正如上訴所說，如果你正面對(duì)著不斷擴(kuò)大的安全問題清單，而你沒有想辦法來解決這些問題，你可能會(huì)被視為是問題的一部分。企業(yè)高管希望看到你的軟件安全計(jì)劃所有方面的一些“關(guān)鍵績效指標(biāo)”。培訓(xùn)進(jìn)展如何？你的開發(fā)人員學(xué)會(huì)了如何在最開始避免漏洞嗎？你的漏洞密度比是？也就是說，與六個(gè)月前相比，在相同單位內(nèi)，漏洞數(shù)量有所下降嗎？每當(dāng)你的開發(fā)團(tuán)隊(duì)整合新技術(shù)堆棧時(shí)，是否會(huì)出現(xiàn)大量安全漏洞？當(dāng)你發(fā)現(xiàn)和解決架構(gòu)問題或者修改了的要求時(shí)，你展示了這將會(huì)為你省下多少苦惱和金錢嗎？與去年相比，通過最近的生命周期滲透測(cè)試，你是否發(fā)現(xiàn)問題變少了？（應(yīng)該是這樣）。最后，因?yàn)檐浖踩?jì)劃具有多個(gè)活動(dòng)部件，BSIMM測(cè)量是測(cè)量你自己的最可靠的方法。高層管理人員喜歡BSIMM，并能夠即時(shí)掌握其效用。

創(chuàng)建和采用SSDL方法，如微軟SDL或者Cigital Touchpoints，這些方法整合了安全控制（包括架構(gòu)風(fēng)險(xiǎn)分析、代碼審查和滲透測(cè)試）以及比他們自己運(yùn)行的工具更了解軟件安全的人員。因?yàn)楹芏喙径荚谧鲕浖踩?，所以存在很多不同的SSDL。并不是所有公司都有正式化的SSDL，但他們應(yīng)該有。你應(yīng)該從我的書《軟件安全》以及微軟的SDL借鑒一些想法，再加上一些OWASP和SAFEcode的想法。閱讀BSIMM，看看其他公司正在做什么。主要是要認(rèn)識(shí)到，我們知道現(xiàn)在應(yīng)該如何做軟件安全，這個(gè)領(lǐng)域已經(jīng)很成熟。首先，你需要用代碼審查（最好使用工具）來查找漏洞，用架構(gòu)風(fēng)險(xiǎn)分析來找出問題，用滲透測(cè)試來找出容易忽略的漏洞。請(qǐng)確保當(dāng)你使用這些工具時(shí)，不要盲目地使用它們（或者將這些工具扔給不知所措的開發(fā)人員）。請(qǐng)記住這一點(diǎn)：如果所有的開發(fā)人員在沒有幫助的情況下，能夠直接利用安全工具的結(jié)果并且修復(fù)安全漏洞，他們將不會(huì)在最開始制造漏洞。你至少需要一名比這些工具更聰明的安全專業(yè)人士。真的是這樣，如果你需要確定和建立SSDL，就去尋求幫助，有很多安全顧問靠這個(gè)吃飯。