新思科技:軟件安全之旅需要借助“他山之石”
隨著全球數(shù)字化轉(zhuǎn)型的不斷深入,軟件安全也迎來了高速發(fā)展期。只有建立可信、健全的軟件安全保障體系,才能筑牢數(shù)字經(jīng)濟(jì)的網(wǎng)絡(luò)安全屏障。
本文引用地址:http://2s4d.com/article/202301/442603.htm中國正在把發(fā)展經(jīng)濟(jì)的著力點(diǎn)放在實(shí)體經(jīng)濟(jì)上,加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國。同時(shí),數(shù)字經(jīng)濟(jì)與各種產(chǎn)業(yè)疊加,賦予數(shù)字化力量,可以提升實(shí)體經(jīng)濟(jì)的產(chǎn)業(yè)優(yōu)勢,促進(jìn)產(chǎn)業(yè)邁向高質(zhì)量。對此,新思科技強(qiáng)調(diào),數(shù)字賦能,安全先行。把安全貫穿在數(shù)字經(jīng)濟(jì)發(fā)展的全過程,才能行穩(wěn)致遠(yuǎn)。軟件安全不會(huì)一蹴而就,而是一個(gè)旅程,需要借鑒“他山之石”,取長補(bǔ)短。
當(dāng)然,他人的經(jīng)驗(yàn)并非都有普適性。雖然出發(fā)點(diǎn)是好的,但是如果采納了不適合自身的軟件安全建議,或者盲目跟隨某家企業(yè)的軟件安全計(jì)劃,可能會(huì)導(dǎo)致?lián)p失。一旦不法分子發(fā)現(xiàn)其中的缺陷和漏洞,就可以竊取知識產(chǎn)權(quán)、員工和客戶的個(gè)人信息、清空公司銀行賬戶、破壞建筑的安保,甚至通過勒索軟件來破壞企業(yè)運(yùn)營。
在如今數(shù)字化轉(zhuǎn)型的大環(huán)境中,每個(gè)企業(yè)在本質(zhì)上都是一家軟件公司。因此軟件風(fēng)險(xiǎn)很大程度上等同于業(yè)務(wù)風(fēng)險(xiǎn)。在競爭激烈且充滿不確定性的市場環(huán)境中,企業(yè)應(yīng)該對軟件安全建議謹(jǐn)慎求證,才能確定是否應(yīng)該采取后續(xù)行動(dòng)。
如果從一兩家公司的軟件安全計(jì)劃中找不到合適的參照,那100多家呢?基于大量的真實(shí)數(shù)據(jù),描述哪些方案是有效的,哪些是失敗的,更重要的是行業(yè)在發(fā)生什么變化,已經(jīng)采取了哪些安全舉措以更高效地響應(yīng)這些變化,進(jìn)而構(gòu)建可信軟件。
這也是自2008年開始,全球有數(shù)百家企業(yè)參加軟件安全構(gòu)建成熟度模型(BSIMM)評估的原因。這其中也不乏中國企業(yè),比如OPPO、聯(lián)想和浪潮參加了新思科技最新的BSIMM13評估。
BSIMM是免費(fèi)及開放的標(biāo)準(zhǔn),廣泛適用于各行業(yè)。BSIMM 軟件安全框架(SSF)包含四個(gè)領(lǐng)域 — 治理、 情報(bào)、 SSDL 觸點(diǎn)和部署,涵蓋250項(xiàng)軟件安全計(jì)劃,觀察企業(yè)如何將安全性構(gòu)建到軟件開發(fā)中,以應(yīng)對不斷變化的數(shù)字威脅環(huán)境。通過這種數(shù)據(jù)驅(qū)動(dòng)的視角,BSIMM可全面評估企業(yè)軟件安全小組的成熟度,并創(chuàng)建用于衡量其計(jì)劃成熟度的軟件安全計(jì)分卡。
除了評估和計(jì)分卡,BSIMM還為多樣化的成員社區(qū)搭建交流橋梁,大家可以互動(dòng)、學(xué)習(xí)行業(yè)最佳實(shí)踐、獲得對不斷變化的商業(yè)環(huán)境的新見解,并參加線下活動(dòng),以促進(jìn)更緊密的聯(lián)系和合作。
無論您是正在制定軟件安全計(jì)劃,還是已經(jīng)開始維護(hù)成熟的計(jì)劃,根據(jù)BSIMM13數(shù)據(jù),都應(yīng)該考慮實(shí)施以下措施:
● 自動(dòng)化軟件安全工具到位。無論是用于靜態(tài)或動(dòng)態(tài)測試還是軟件組成分析,這些工具都可以識別并幫助修復(fù)關(guān)鍵軟件中的缺陷、漏洞和惡意代碼,無論是內(nèi)部開發(fā)的軟件、商業(yè)第三方軟件還是開源軟件。
● 基于數(shù)據(jù)驅(qū)動(dòng)安全決策。使用安全測試工具收集數(shù)據(jù)、合并數(shù)據(jù),然后使用這些數(shù)據(jù)制定和實(shí)施軟件安全策略。收集有關(guān)執(zhí)行了哪些測試以及發(fā)現(xiàn)了哪些問題的數(shù)據(jù),以推動(dòng)同時(shí)改進(jìn)軟件開發(fā)生命周期(SDLC)和治理流程。
● 向自動(dòng)化安全測試和決策轉(zhuǎn)變。從人力資源密集的人工方式轉(zhuǎn)變?yōu)楦恢?、更高效、可重?fù)性更強(qiáng)的自動(dòng)化方法。
● 在SDLC中向規(guī)模更小的自動(dòng)檢測轉(zhuǎn)變。在檢查軟件時(shí),盡一切可能通過規(guī)模更小、速度更快、管道驅(qū)動(dòng)的測試替代滲透測試或人工代碼審查等手動(dòng)活動(dòng)。
● 盡早創(chuàng)建全面的軟件物料清單(SBOM)。SBOM中應(yīng)包括企業(yè)的資產(chǎn)清單以及開源和第三方代碼清單。
BSIMM13觀察到的其中一個(gè)趨勢是軟件供應(yīng)鏈風(fēng)險(xiǎn)管理興起。就在幾年前,這還是安全社區(qū)的邊緣話題。現(xiàn)在,可能由于近期比較頻繁的供應(yīng)鏈攻擊事件影響,管理軟件供應(yīng)鏈風(fēng)險(xiǎn)(最常見的是通過識別和保護(hù)開源軟件來執(zhí)行)成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報(bào)告顯示,與控制開源風(fēng)險(xiǎn)相關(guān)的活動(dòng)增加了 51%,通過構(gòu)建和維護(hù)SBOM以對其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。
在BSIMM13中,最引人注目的數(shù)字或許是0。數(shù)據(jù)表明,在130家參與評估的企業(yè)中,沒有一家的軟件安全小組具有完全相同的架構(gòu)。沒有一個(gè)所謂“最好”的途徑可以構(gòu)建出成熟的軟件安全應(yīng)用。但我們有著共同的目標(biāo):構(gòu)建可信的軟件。
BSIMM并不規(guī)定企業(yè)需要采取何種路徑。而是幫助企業(yè)能夠根據(jù)其自身的風(fēng)險(xiǎn)概況和優(yōu)先級制定合適的計(jì)劃,以提升軟件安全成熟度。
評論