BSIMM对于企业软件安全的意义
时间:2022-03-14 01:36:02 | 来源:行业动态
时间:2022-03-14 01:36:02 来源:行业动态
新思科技软件质量与安全部门管理顾问Olli Jarva
新思科技软件质量与安全部门管理顾问Olli Jarva告诉记者,BSIMM对已经建立真正SSI的企业进行观察,描述了113项可付诸实践的活动,通过量化多家不同企业的做法,能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面,开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较,由此决定哪些活动是可能有用的。
现在市面上有很多评估工具,那么BSIMM有什么不同呢?Olli说,现在的安全开发评估模型从大类上分两类,一类是指导性模型,还有一类叫做描述性模型。指导性模型以OpenSAMM、微软SDL为代表,它们都是指导性模型。这类模型的最大特点就是它已经规定好事项,你需要怎么做下去才是符合这个模型的一个事件。BSIMM是描述性模型,与OpenSAMM、微软SDL的区别是BSIMM不是告诉你如何往下做,而是描述了你正在做哪些事情,或者已经做了哪些事情。
从现实的角度来说,一家公司开展业务的时候,在SDLC(软件开发生命周期)的时候,他会遵循比如微软的SDL或者OpenSAMM,之后再用BSIMM评估开展地怎么样,做地好不好,哪里还有缺失,或者哪点做地比较好。BSIMM相对比较独特的一点,就是它可以用来评估各种各样不同的指导性模型。此外,为了保持数据新鲜度,BSIMM会更加频繁地更新自己的模型,保持与时俱进的状态。BSIMM本身对于一些新趋势或者新技术的获取非常敏锐,包括像大家现在看到的敏捷趋势或者容器技术的应用很明显,BSIMM可以很好地适配敏捷的趋势。Olli说。
第一版BSIMM于2008年构建,现在已经更新到第八个版本。BSIMM8首次于亚太区发布,是迄今为止发布最详细的BSIMM数据。BSIMM8收集了来自109家公司的数据,并且描述了4769名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对近30万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约9.5万应用程序的开发工作。参与BSIMM8调研的公司来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网和保险。
Olli表示,企业采用BSIMM模型开展安全评估的时候,会覆盖到整个软件研发过程的方方面面,比如代码安全、策略制定怎么样,上线之后环境的保护等等。BSIMM不是一套方法论,而是一个评估的工具,会给企业呈现一个软件安全的可视化的评估结果。BSIMM是一个开放的标准,包括一个基于软件安全实践模块的框架。通过建立社区,BSIMM每年有两次线下的社区聚会、交流。对于开展安全实践或者安全活动的公司来说,他们可以在社区或者活动中相互学习,分享各自的实践经验。通过交流、共生,不断完善自己这样一个过程,企业可以从中获取很多的价值。
在线咨询
