隨著科技的不斷進(jìn)步，軟件因其方便、快捷、實(shí)用性強(qiáng)等特點(diǎn)，在各個(gè)領(lǐng)域中得到了廣泛的應(yīng)用。然而，隨之而來(lái)的安全問(wèn)題也日益凸顯，從軟件缺陷到漏洞，再到大規(guī)模的數(shù)據(jù)泄露，特別是現(xiàn)在，越來(lái)越多的企業(yè)將一些關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到線上，軟件安全一旦出現(xiàn)問(wèn)題可能帶來(lái)災(zāi)難性的后果或重大經(jīng)濟(jì)損失，因此，有效地評(píng)估軟件的安全性十分必要。

現(xiàn)在，企業(yè)組織通常會(huì)從其軟件開發(fā)生命周期中收集安全指標(biāo)，實(shí)施基本安全措施，并將保護(hù)用戶數(shù)據(jù)的義務(wù)定義為基本安全策略的一部分。

[[433641]]

根據(jù)年度《構(gòu)建安全成熟度模型》(BSIMM)報(bào)告顯示，超過(guò)四分之三的受訪組織定期采取10項(xiàng)常見安全措施來(lái)改善其整體防御態(tài)勢(shì)，其中包括檢測(cè)其安全開發(fā)生命周期(SDLC)以及使用自動(dòng)化工具等等。

構(gòu)建安全成熟度模型(BSIMM)是一種數(shù)據(jù)驅(qū)動(dòng)的模型，采用一套面對(duì)面訪談技術(shù)開展 BSIMM評(píng)估，唯一目標(biāo)就是觀察和報(bào)告。它是一把衡量企業(yè)在軟件開發(fā)階段構(gòu)建軟件安全能力的標(biāo)尺。BSIMM軟件安全框架(SSF)包含四個(gè)領(lǐng)域——治理、 情報(bào)、SSDL觸點(diǎn)和部署。這四個(gè)領(lǐng)域又包括12個(gè)實(shí)踐模塊，而這12個(gè)實(shí)踐模塊中又包含122項(xiàng)BSIMM活動(dòng)。

該報(bào)告就是基于對(duì)受訪企業(yè)的12個(gè)實(shí)踐模塊進(jìn)行評(píng)估，詢問(wèn)他們是否進(jìn)行了122項(xiàng)不同的安全活動(dòng)中的任何一種。結(jié)果顯示，在參與調(diào)查的128家公司中，92%的公司從其軟件開發(fā)生命周期收集數(shù)據(jù)以提高安全性，而91%的公司定期確認(rèn)其基礎(chǔ)主機(jī)和網(wǎng)絡(luò)安全措施的狀態(tài)——根據(jù)BSIMM調(diào)查生成的排名列表，這正是受訪組織中最常見的兩項(xiàng)安全舉措。

BSIMM報(bào)告的作者之一Eli Erlikhman表示，這些數(shù)據(jù)表明，企業(yè)組織在完善其軟件安全流程方面正取得重大進(jìn)展。他解釋稱，“我們看到軟件安全流程方面正在得到進(jìn)一步改進(jìn)，組織在某些領(lǐng)域變得更好，例如控制開源風(fēng)險(xiǎn)、供應(yīng)商安全以及缺陷發(fā)現(xiàn)等。與此同時(shí)，我們也看到該行業(yè)仍有改進(jìn)的空間，組織應(yīng)該繼續(xù)增強(qiáng)自身的能力。”

目前的評(píng)估結(jié)果發(fā)現(xiàn)，越來(lái)越多涉及勒索軟件攻擊和軟件供應(yīng)鏈攻擊的公共事件(例如針對(duì)遠(yuǎn)程管理軟件制造商Kaseya的攻擊事件)使企業(yè)組織更加關(guān)注旨在預(yù)防或減輕事件的措施。在過(guò)去兩年中，61%的受訪組織正在積極尋求識(shí)別開源風(fēng)險(xiǎn)——今年是74 家，而兩年前是 46家——而55家公司已經(jīng)開始授權(quán)模板軟件許可協(xié)議，比兩年前增加了57%。

在過(guò)去的18個(gè)月中，企業(yè)組織經(jīng)歷了數(shù)字化轉(zhuǎn)型計(jì)劃的“大跨步”。考慮到這些變化的復(fù)雜性和速度，對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，擁有能夠讓他們了解自身立場(chǎng)并為下一步行動(dòng)提供參考的工具，變得前所未有的重要。

BSIMM報(bào)告旨在讓公司能夠就如何隨著時(shí)間的推移改進(jìn)其軟件安全工作做出數(shù)據(jù)驅(qū)動(dòng)的決策。10 項(xiàng)最常見的舉措——以及參與這些舉措的組織比例如下所示：

• 實(shí)施生命周期檢測(cè)并用于定義治理(92%);
• 確保主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)措施到位(91%);
• 確定PII義務(wù)(89%);
• 執(zhí)行安全功能審查(88%);
• 使用外部滲透測(cè)試人員發(fā)現(xiàn)問(wèn)題(87%);
• 創(chuàng)建或與事件響應(yīng)交互(84%);
• 集成并提供安全功能(80%);
• 使用自動(dòng)化工具(80%);
• 確保QA執(zhí)行邊緣/邊界值條件測(cè)試(78%);
• 將合規(guī)性約束轉(zhuǎn)化為需求(77%);

數(shù)據(jù)表明，總的來(lái)說(shuō)，企業(yè)組織在軟件安全方面正變得越來(lái)越成熟。兩年前，BSIMM報(bào)告發(fā)現(xiàn)，只有70%的受訪組織執(zhí)行了前10項(xiàng)舉措中最不常見的舉措，而今年這一比例為77%。

BSIMM調(diào)查還顯示，越來(lái)越多的企業(yè)組織專注于保護(hù)其軟件供應(yīng)鏈并確保其基礎(chǔ)設(shè)施安全。 兩個(gè)增長(zhǎng)最快的活動(dòng)是為容器和虛擬化環(huán)境應(yīng)用編排，參與企業(yè)從兩年前的5家增加到33 家，其次是確保云安全基礎(chǔ)，現(xiàn)在是59家企業(yè)參與，而兩年前僅有9家。

檢查軟件物料清單(SBOM)是另一個(gè)快速增長(zhǎng)的軟件安全領(lǐng)域，有14家企業(yè)采取了這項(xiàng)活動(dòng)，而兩年前只有3家公司。

報(bào)告還發(fā)現(xiàn)，其中許多活動(dòng)都從“專注于將安全性進(jìn)一步轉(zhuǎn)移到開發(fā)”——所謂的“左移”(shift left)——轉(zhuǎn)變?yōu)?ldquo;專注于將安全活動(dòng)添加到需要的地方”——所謂的“無(wú)處不移”(shift everywhere)。運(yùn)營(yíng)基礎(chǔ)設(shè)施的自動(dòng)化安全驗(yàn)證就是一個(gè)例子，其中安全性從左移到開發(fā)，右移到運(yùn)營(yíng)，更全面地轉(zhuǎn)移到工程中。

本文翻譯自：https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions