新思科技BSIMM13報(bào)告顯示加強(qiáng)軟件供應(yīng)鏈安全實(shí)踐顯著增加

保護(hù)開源組件并將安全性集成到開發(fā)人員工具鏈中的活動激增了近 50%

無規(guī)劃，不安全。通常軟件安全計(jì)劃比較成功的企業(yè)都設(shè)有專門的軟件安全小組。該小組一開始可能只是一人團(tuán)隊(duì)（整個團(tuán)隊(duì)只有軟件安全主管一個人），后來隨著時(shí)間的推移而不斷發(fā)展壯大。了解重要的應(yīng)用安全趨勢可以幫助軟件安全小組做好戰(zhàn)略性的改進(jìn)規(guī)劃。

新思科技(Synopsys, Nasdaq: SNPS)發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)的第13版——BSIMM13。該報(bào)告分析了Adobe、PayPal 和聯(lián)想在內(nèi)的130家企業(yè)的軟件安全實(shí)踐。

BSIMM13涵蓋了410,000多名開發(fā)人員為軟件安全做出長期努力的成果，他們構(gòu)建和維護(hù)了超過145,000個應(yīng)用程序。

報(bào)告強(qiáng)調(diào)了越來越多的 BSIMM 成員企業(yè)正在實(shí)施安全“無處不移”的策略，以在整個軟件開發(fā)生命周期 (SDLC) 中執(zhí)行自動、持續(xù)的安全測試，并管理其完整應(yīng)用組合的風(fēng)險(xiǎn)。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“BSIMM13的調(diào)研發(fā)現(xiàn)，隨著軟件供應(yīng)鏈的關(guān)注度提升，大多數(shù)企業(yè)都在采用基于風(fēng)險(xiǎn)預(yù)防的措施以確保應(yīng)用安全。他們意識到安全不局限于代碼庫。安全涵蓋軟件開發(fā)過程、安全審查和測試‘無處不移’，以持續(xù)提升安全性。報(bào)告還表明，BSIMM成員企業(yè)的軟件安全計(jì)劃正趨向成熟。他們現(xiàn)在正在尋找解決方案，以推動其計(jì)劃的可擴(kuò)展性、效率和整體有效性。”

BSIMM13 由新思科技軟件質(zhì)量與安全部門進(jìn)行匯總分析，重點(diǎn)介紹了過去 12 個月內(nèi)成員企業(yè)的軟件安全計(jì)劃的演變趨勢，包括：

?管理軟件供應(yīng)鏈風(fēng)險(xiǎn)及SBOM（軟件物料清單）興起。可能由于近期比較頻繁的供應(yīng)鏈攻擊事件影響，管理軟件供應(yīng)鏈風(fēng)險(xiǎn)（最常見的是通過識別和保護(hù)開源軟件來執(zhí)行）成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報(bào)告顯示，在過去 12 個月中，與控制開源風(fēng)險(xiǎn)相關(guān)的活動增加了 51%，通過構(gòu)建和維護(hù)SBOM以對其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。

?將安全集成到開發(fā)人員工具鏈中。在過去 12 個月中，BSIMM成員企業(yè)在將安全集成到CI/CD管道和開發(fā)人員工具鏈方面取得了重要的進(jìn)展，這是實(shí)施安全“無處不移”的策略的一部分。BSIMM13 數(shù)據(jù)指出，使企業(yè)能夠?qū)踩珳y試納入QA（質(zhì)量保證） 自動化的活動增加了 48%。

?將軟件安全擴(kuò)展到產(chǎn)品和應(yīng)用之外。BSIMM13 數(shù)據(jù)還顯示安全團(tuán)隊(duì)正在與運(yùn)營合作開展更多的活動，以保護(hù)不是應(yīng)用程序的軟件（例如為 CI/CD 創(chuàng)建的自動化）。過去 12 個月，利用運(yùn)營數(shù)據(jù)進(jìn)行持續(xù)改進(jìn)的活動增長了 95%。

?通過自動化和持續(xù)測試實(shí)現(xiàn)安全“無處不移”。BSIMM13 數(shù)據(jù)報(bào)告稱，82% 的 BSIMM 成員企業(yè)現(xiàn)在使用自動代碼審查工具（在 BSIMM13 中排名前 10 最受關(guān)注的活動）。這增強(qiáng)了他們執(zhí)行更快、增量安全測試和識別漏洞的能力，因?yàn)檫@些工具貫穿在SDLC中。

新思科技自2008年起發(fā)布BSIMM報(bào)告。該報(bào)告是一種成熟度模型，觀察和量化軟件安全人員執(zhí)行的活動，以幫助更廣泛的安全社區(qū)成員規(guī)劃、執(zhí)行和衡量自身的舉措。BSIMM 數(shù)據(jù)來源于在評估期間與成員企業(yè)進(jìn)行的深度訪談。在評估之后，觀察數(shù)據(jù)被匿名化并添加到 BSIMM 數(shù)據(jù)池中，且在其中執(zhí)行統(tǒng)計(jì)分析，以突出 BSIMM 成員企業(yè)如何保護(hù)其軟件的趨勢。

除了發(fā)布其年度報(bào)告外，BSIMM 還為成員企業(yè)搭建社區(qū)平臺，通過社區(qū)討論、博客、電子學(xué)習(xí)課程、網(wǎng)絡(luò)研討會和分享軟件安全的獨(dú)家內(nèi)容等，與同行互動、學(xué)習(xí)最佳實(shí)踐并獲得對不斷變化的商業(yè)環(huán)境的新見解。

聯(lián)想基礎(chǔ)設(shè)施解決方案事業(yè)部產(chǎn)品安全部執(zhí)行董事Bill Jaeger表示：“在 2015 年加入 BSIMM 社區(qū)后，我們發(fā)現(xiàn)每年更新的報(bào)告洞察可以幫助聯(lián)想規(guī)劃和衡量安全計(jì)劃。這對我們了解客戶最重要的實(shí)踐領(lǐng)域也具有重要價(jià)值。此外，BSIMM 社區(qū)本身就是一個極好的資源，成員們慷慨地分享經(jīng)驗(yàn)。他山之石，可以攻玉。我們都踏上了相似的安全之旅，剛起步的企業(yè)可以借鑒已經(jīng)有成果的企業(yè)的軟件安全計(jì)劃實(shí)踐。”