[[207537]]

前言

軟件安全開發(fā)主要是從生命周期的角度，對安全設計原則、安全開發(fā)方法、***實踐和安全專家經(jīng)驗等進行總結(jié)，通過采取各種安全活動來保證盡可能得到安全的軟件。但是，能否將安全開發(fā)的概念整合到企業(yè)原有的開發(fā)過程中，通常取決于企業(yè)規(guī)模、資源(時間、人才和預算)，以及管理層支持等各種因素。如果方式不當，很可能造成高昂的成本甚至整合失敗。

建立軟件安全構(gòu)建成熟度模型能夠幫助企業(yè)理解安全開發(fā)舉措的關(guān)鍵要素，根據(jù)開發(fā)團隊的成熟度水平確定各種安全舉措的優(yōu)先級，從而控制上述因素的影響。

本文介紹了BSIMM、SAMM、SDL優(yōu)化模型、CMMI+SAFE等四款軟件安全構(gòu)建成熟度模型，分析了這些模型近年來的演變及其產(chǎn)生的原因。

軟件安全構(gòu)建成熟度模型概述

該部分介紹各軟件安全構(gòu)建成熟度模型的由來、概念和基本組成。

1、內(nèi)建安全成熟度模型BSIMM

內(nèi)建安全成熟度模型(Building Security In Maturity Model，簡稱BSIMM)，是2009年3月正式提出的。BSIMM的核心目的就是對組織所實施的“軟件安全舉措”進行量化。

軟件安全框架(Software Security Framework，以下簡稱為SSF) 是BSIMM賴以成型的基本結(jié)構(gòu)，如上圖所示，它為各種安全活動提供了一個通用的詞匯表，來解釋"軟件安全舉措"中的主要要素。

從2013年開始，BSIMM經(jīng)歷了3個版本的變動：2013年10月的BSIMM 5、2015年10月的BSIMM 6和2016年8月的BSIMM 7。在這三個版本的變動中，其基礎的SSF框架并沒有任何的變動。

2、軟件保障成熟度模型SAMM

軟件保障成熟度模型(Software Assurance Maturity Model，簡稱SAMM) 是一個開放式的框架，用于幫助組織制定并實施所面臨來自軟件安全的特定風險的策略。在2009年3月發(fā)布正式版之后，它成為OWASP 的項目之一。

SAMM的框架頂層定義了四種關(guān)鍵業(yè)務功能，而每種關(guān)鍵業(yè)務功能下又包含了三類安全措施，共計12種安全措施，如上圖所示。

自2009年SAMM 1.0發(fā)布之后，SAMM共更新過兩次，分別是2016年3月的SAMM 1.1和2017年4月的SAMM 1.5。

3、安全開發(fā)生命周期SDL優(yōu)化模型

SDL 優(yōu)化模型圍繞5個功能領(lǐng)域構(gòu)建，這些領(lǐng)域大致與軟件開發(fā)生命周期的各個階段相對應：培訓以及政策、組織功能、要求和設計、實施、驗證、發(fā)布和響應。針對這些領(lǐng)域中的實踐和功能，SDL 優(yōu)化模型還定義了四個成熟度水平——基本、標準、高級和動態(tài)。其結(jié)構(gòu)如下圖所示。

從SDL優(yōu)化模型2008年發(fā)布以來，它的內(nèi)容未更新過。而且現(xiàn)在微軟的官方網(wǎng)站上也找不到相關(guān)材料，只是在“安全自評估”的頁面中提到：“使用SDL優(yōu)化模型能夠幫助組織評估產(chǎn)品在開發(fā)過程中的安全狀態(tài)，隨后組織可以利用SDL 優(yōu)化模型為漸進地、經(jīng)濟地創(chuàng)建更安全、可靠的軟件提供愿景和實施路線”。

4、CMMI+SAFE

+SAFE模型是由澳大利亞國防部和美國卡內(nèi)基梅隆大學共同研制開發(fā)的，并且針對CMMI 開發(fā)模型(CMMI-DEV)增加了兩個額外的過程域，涵蓋安全管理和安全工程的內(nèi)容。

+SAFE旨在識別安全關(guān)鍵產(chǎn)品的安全性強項和弱項，并且意圖在產(chǎn)品采購過程的早期識別出的安全漏洞。

從2007年3月發(fā)布以來，+SAFE的內(nèi)容也未更新過。

軟件安全構(gòu)建成熟度模型的演變

本節(jié)，我們對近年來模型的演變情況進行分析，因為只有BSIMM和SAMM存在內(nèi)容的更新，所以主要聚焦在這兩個模型上。

1、BSIMM的演變

(1)模型演變

BSIMM模型基礎框架SSF近年來并沒有變化，而只是對各種安全活動的變更。具體情況如下表：

其中，紫色框表示該活動為該版本BSIMM新增加內(nèi)容;綠色框表示該活動的成熟度級別進行了上調(diào)，即考慮的優(yōu)先級有較明顯的降低;橙色框表示該活動的成熟度級別進行了下調(diào)，即考慮的優(yōu)先級有較明顯提升。

安全活動增加

從上表中可以看到，在BSIMM 5和BSIMM 7中分別新增了一項安全活動，為“運營漏洞獎勵計劃”和“使用應用程序容器”。“運營漏洞獎勵計劃”是為了借助更多的外部技術(shù)力量來保障軟件安全，而“使用應用程序容器”則明顯是順應了目前大量使用Docker等容器進行開發(fā)的趨勢。

安全活動級別調(diào)整

另外，在版本演變的過程中，對部分安全活動的成熟度級別進行了調(diào)整。在3次版本更新的所有13項變化中，只有3項的成熟度級別進行了下調(diào)，也就是說這3項活動的應用趨勢有較明顯的增加，分別是：“使用自動化工具檢測自定義規(guī)則”、“將安全測試包括在QA自動化中”和“執(zhí)行為應用程序API定制的模糊測試”。

一方面，這三項活動分別屬于“代碼審計”和“安全測試”這兩項安全實踐，且都屬于“SSDL接觸點”這個領(lǐng)域;另一方面，前兩項都與自動化相關(guān)，可見安全測試的自動化趨勢愈加明顯。安全測試自動化的需求應主要來自于DevOps;而對應用API進行模糊測試的需求可能來源于大量Web API的使用。

(2)數(shù)據(jù)演變

由于BSIMM是一種觀察模型，所以BSIMM中也包含了觀察到的各種數(shù)據(jù)。而這些數(shù)據(jù)的變化，也揭示了一些安全開發(fā)的趨勢。

加入BSIMM社區(qū)(參與BSIMM評估)廠商的詳細分布數(shù)據(jù)如下表所示：

從數(shù)據(jù)中可以看到，越來越多的垂直行業(yè)開始參與到BSIMM的評估中，從最開始的金融服務、軟件開發(fā)，到醫(yī)療和物聯(lián)網(wǎng)，再到云廠商和保險廠商。

加入BSIMM社區(qū)的安全人員和開發(fā)人員對比的詳細數(shù)據(jù)如下表所示：

從上表中可以看出，安全人員與開發(fā)人員的比例呈現(xiàn)逐步上升的趨勢(從BSIMM 4到BSIMM 5的數(shù)據(jù)下降，是因為BSIMM 5引入了數(shù)據(jù)新鮮度的概念，數(shù)據(jù)的計算方式有所變化)。

2、SAMM演變

與BSIMM類似，SAMM的整體框架(業(yè)務功能、安全實踐)并沒有變化。但是在形式和內(nèi)容上，進行了大量的豐富和完善。

SAMM 1.1的改進

如上圖所示，在SAMM 1.1中，原有的SAMM 1.0模型被劃分成了兩部分：操作指南和核心模型。并新增了快速入門指南、工具箱、OWASP資源和SAMM基準。

SAMM 1.5的改進

SAMM 1.5通過細化評分模型提升了評估的粒度，并在成熟度基準的評估中允許部分評分?，F(xiàn)在，組織將獲得在安全實踐中完成的所有相關(guān)工作的評分，而不是將分數(shù)保持在***的成熟度水平。

同時，SAMM 1.5通過工作表和指南中的典型案例，幫助組織在理解自身安全狀況定位的同時，也知道類似情況下哪些工作對于別人是有效的。

從兩次SAMM的演變情況中，可以看出SAMM對于評估的可操作性和實用性進行了較大的改進。不難看出，在企業(yè)對軟件安全構(gòu)建成熟度模型一無所知的情況下，如果想對開發(fā)安全狀況進行自評估、了解下一步的改進方向，那么SAMM無疑是成本最小、最便捷的方式。

分析及展望

通過上述分析可以得出以下結(jié)論：

軟件安全成熟度模型，仍然以大量安全實踐和統(tǒng)計數(shù)據(jù)為基礎。本文中分析的軟件安全成熟度模型，近年來并沒有發(fā)生大的變動。自2013年來，這四個模型的基礎框架都未發(fā)生變化，仍然是以安全實踐和安全活動為主，并未引入新的理論依據(jù)。

安全構(gòu)建成熟度模型會根據(jù)軟件開發(fā)技術(shù)的發(fā)展而演變。BSIMM新增的安全活動“使用應用程序容器”，以及對“使用自動化工具檢測自定義規(guī)則”、“將安全測試包括在QA自動化中”和“執(zhí)行為應用程序API而定制的模糊測試”的級別調(diào)整，都揭示了容器、DevOps、Web API等對成熟度模型的影響。

安全測試的工具化、自動化，是未來的發(fā)展趨勢。為了順應現(xiàn)代軟件開發(fā)部署的快節(jié)奏，軟件安全測試的工具化、自動化將勢不可擋。例如SAMM的工具化、實用化演變，SDL威脅建模工具、靜態(tài)分析工具、二進制驗證工具的持續(xù)更新，BSIMM中“使用自動化工具檢測自定義規(guī)則”、“將安全測試包括在QA自動化中”這種自動化安全活動的興起，都證實了這一點。

軟件安全將受到越來越多的關(guān)注與重視。從BSIMM的數(shù)據(jù)演變中可以發(fā)現(xiàn)，無論是加入軟件評估的企業(yè)數(shù)目，還是各企業(yè)內(nèi)專業(yè)從事軟件安全的人員比例，都呈現(xiàn)逐步上升的趨勢。

對于軟件開發(fā)安全的未來趨勢，我們認為：隨著DevOps、微服務等軟件開發(fā)技術(shù)的發(fā)展，傳統(tǒng)軟件安全的形態(tài)不斷發(fā)生著演變。很多測試、評估的技術(shù)路線都在持續(xù)地演進，但是自動化、高速、與傳統(tǒng)開發(fā)流程進行融合的趨勢將愈發(fā)明顯。工具化、自動化的安全測試將會成為各家公司保障軟件安全的基礎舉措，而安全從業(yè)人員能夠?qū)⒏嗑ν度氲竭^程的改進與管理中。根據(jù)目前各軟件安全構(gòu)建成熟度模型的情況，我們也給出如下建議：

對于依托互聯(lián)網(wǎng)、云服務等技術(shù)演變迅速的高科技公司，應盡可能避免使用SDL優(yōu)化模型、CMMI+SAFE模型，因為其內(nèi)容已經(jīng)較長時間沒有更新，可能有些細節(jié)已經(jīng)無法與現(xiàn)階段的開發(fā)過程或技術(shù)相匹配;

對于資源相對充足、安全關(guān)鍵的大型機構(gòu)，可以采用BSIMM模型來指導安全開發(fā)體系的建設，同時引入專業(yè)的安全開發(fā)咨詢服務，來盡可能保證企業(yè)始終處于較高的安全水平;

對于資源有限的中小型公司或創(chuàng)業(yè)公司，可以考慮引入SAMM模型，從而在控制成本的同時，盡快提升整體的軟件安全水平。