應(yīng)用程序安全方法論和最佳實(shí)踐已經(jīng)有十多年的歷史，其中“安全開發(fā)成熟度模型”（BSIMM）是被企業(yè)采用多年，用來跟蹤安全開發(fā)成熟度進(jìn)度的重要模型。上周，Synopsys發(fā)布了基于BSIMM11模型的報(bào)告，對基于金融服務(wù)、軟件、云計(jì)算和醫(yī)療等9個(gè)垂直行業(yè)的130家公司的軟件安全實(shí)踐進(jìn)行了分析，揭示了以下四個(gè)應(yīng)用安全趨勢：

　　·工程導(dǎo)向的軟件安全性工作正在成功地推動DevOps價(jià)值流追求彈性；

　　·軟件定義的安全治理不再只是抱負(fù)；

　　·安全性正在成為質(zhì)量實(shí)踐的一部分，而質(zhì)量實(shí)踐則被視為可靠性的一部分，而這一切都是為了追求彈性；

　　·“左移”正變成“無處不在”。

　　BSIMM11模型將121種不同的軟件安全性指標(biāo)歸納為四個(gè)主要領(lǐng)域：治理、情報(bào)、安全軟件開發(fā)生命周期（SSDL）接觸點(diǎn)和部署，企業(yè)可通過模型的專有標(biāo)準(zhǔn)對軟件安全實(shí)踐進(jìn)行衡量。上述每個(gè)領(lǐng)域都可進(jìn)一步細(xì)分為三個(gè)實(shí)踐類別，其中包含從簡單到非常成熟的眾多活動。

　　與先前的報(bào)告類似，BSIMM11分析顯示，大多數(shù)企業(yè)都達(dá)到了基本要求，包括執(zhí)行外部滲透測試以及在整個(gè)開發(fā)過程中進(jìn)行基本軟件安全培訓(xùn)之類的活動。

　　以下，是BSIMM11報(bào)告中企業(yè)安全開發(fā)實(shí)踐中最常見的十二項(xiàng)活動（上圖），可以作為企業(yè)保持行業(yè)安全同步的最低參照基準(zhǔn)：

　　治理：策略和指標(biāo)

　　活動：實(shí)施生命周期治理

　　組織中最常見的基礎(chǔ)活動之一是實(shí)施生命周期治理，其中包括發(fā)布條件，例如入口、檢查點(diǎn)、圍欄和里程碑。根據(jù)BSIMM11，有90％的組織已實(shí)施生命周期治理。而且許多組織正走得更遠(yuǎn)，并且也執(zhí)行治理策略。例如，47％的組織還通過度量和跟蹤異常來驗(yàn)證發(fā)布條件。

　　治理：合規(guī)與政策

　　活動：確定PII（個(gè)人身份信息）義務(wù)

　　大約86％的組織可通過明確其對個(gè)人身份信息（PII）的義務(wù)來滿足法規(guī)要求。這是最常見的合規(guī)性活動，同時(shí)，有72％的組織能在所有監(jiān)管標(biāo)準(zhǔn)中統(tǒng)一其觀點(diǎn)和實(shí)踐。BSIMM11表明，隨著時(shí)間的推移，組織也將通過履行其義務(wù)來逐步提高其合規(guī)能力。在過去兩年中，積極在其應(yīng)用程序組合中建立受保護(hù)的PII存儲庫的企業(yè)的數(shù)量已增加了10個(gè)百分點(diǎn)，達(dá)到42％。同樣，在同一時(shí)間范圍內(nèi)，實(shí)施和跟蹤合規(guī)控制措施的組織所占比例從36％上升到47％。

　　治理：培訓(xùn)

　　活動：進(jìn)行安全意識培訓(xùn)

　　在組織范圍內(nèi)進(jìn)行某種形式的安全意識培訓(xùn)已成為企業(yè)應(yīng)用開發(fā)組織的行業(yè)規(guī)范，但即便如此仍然有很多企業(yè)未能遵守。據(jù)BSIMM11稱，只有大約64％的企業(yè)對其軟件相關(guān)人員進(jìn)行了至少一個(gè)安全意識入門課程的培訓(xùn)，即使這些課程是針對特定受眾量身定制。同時(shí)，針對特定角色的安全意識培訓(xùn)已經(jīng)很常見，但還尚未成為主流，只有29％的組織從事此活動。

　　情報(bào)：攻擊模型

　　活動：創(chuàng)建數(shù)據(jù)分類方案和清單

　　當(dāng)今，大多數(shù)軟件組織在威脅建模、開發(fā)濫用案例以及攻擊者思維方面的成熟度還很低。據(jù)BSIMM11報(bào)告，只有63％以上的組織能夠做到這方面的最低要求，即通過創(chuàng)建數(shù)據(jù)分類方案和清單，根據(jù)存儲的數(shù)據(jù)和對攻擊者的吸引力來優(yōu)先考慮應(yīng)用程序的重要性或風(fēng)險(xiǎn)級別。同時(shí)，只有8％的組織建立了與潛在攻擊者相關(guān)的攻擊模式和濫用案例，在過去幾年中，這一比例一直保持穩(wěn)定。

　　情報(bào)：安全功能和設(shè)計(jì)

　　活動：集成并提供安全功能

　　為了滿足安全性可重復(fù)的需求，許多組織接受了提供主動指導(dǎo)和代碼以提供預(yù)先批準(zhǔn)的安全性功能的實(shí)踐，這些安全性功能包括以模塊方式提供的功能，例如身份驗(yàn)證、角色管理和加密。這樣，開發(fā)人員不必每次在項(xiàng)目中添加這些標(biāo)準(zhǔn)功能時(shí)重新發(fā)明車輪。根據(jù)BSIMM11，大約78％的組織參與了此應(yīng)用安全活動。在安全功能和設(shè)計(jì)方面，仍有很大的發(fā)展空間。例如，盡管許多組織向開發(fā)團(tuán)隊(duì)提供這些功能資源，但只有11％強(qiáng)制要求使用規(guī)定列表或存儲庫中的批準(zhǔn)的安全功能和框架。

　　情報(bào)：標(biāo)準(zhǔn)和要求

　　活動：將合規(guī)性約束轉(zhuǎn)換為需求

　　認(rèn)識到開發(fā)人員不是法規(guī)遵從專家（這也不是他們的本職工作），當(dāng)今許多安全組織正在承擔(dān)將諸如PCI DSS標(biāo)準(zhǔn)之類的內(nèi)容解釋為軟件需求的重任。根據(jù)BSIMM11，今天大約有72％的組織在這樣做。將近72％的組織創(chuàng)建了安全標(biāo)準(zhǔn)，以解釋從基于身份的身份驗(yàn)證到如何配置開發(fā)人員基礎(chǔ)結(jié)構(gòu)的所有事務(wù)遵守企業(yè)策略的必需方法。

　　SSDL接觸點(diǎn)：架構(gòu)分析

　　活動：執(zhí)行安全功能審查

　　根據(jù)BSIMM11，現(xiàn)在大約88％的組織會對所開發(fā)的軟件執(zhí)行某種安全功能審查。通常，這仍然是大多數(shù)組織分析其軟件體系結(jié)構(gòu)安全性的唯一方法，但是業(yè)界正在此基礎(chǔ)上發(fā)展。在過去的兩年中，對高風(fēng)險(xiǎn)應(yīng)用程序進(jìn)行設(shè)計(jì)審查的組織所占的比例已提高了5個(gè)百分點(diǎn)，達(dá)到32％。

　　SSDL接觸點(diǎn)：代碼審查

　　活動：使用自動化工具以及手動審核

　　DevSecOps運(yùn)動和安全擁護(hù)者的多年倡導(dǎo)，提高了業(yè)界對代碼審查過程自動化的重視。據(jù)BSIMM11稱，出于效率和一致性的考慮，現(xiàn)在將近77％的組織將靜態(tài)分析合并到代碼審查過程中。對自動化的使用更是五花八門，有些組織將自動化審查構(gòu)建到代碼管理或交付管道工作流程中。但是，這些代碼審查工具并不是始終如一地強(qiáng)制執(zhí)行。只有38％的組織要求所有項(xiàng)目都必須進(jìn)行代碼審查。

　　SSDL接觸點(diǎn)：安全性測試

　　活動：確保質(zhì)量檢查支持邊緣/邊界值條件測試

　　代碼審查只是對已部署軟件的安全性進(jìn)行可靠審查的第一步。其他安全性測試（例如黑盒測試）可檢測軟件構(gòu)建過程中的漏洞。據(jù)BSIMM11稱，至少有八成組織的質(zhì)量檢查團(tuán)隊(duì)超出了功能測試范圍，可以執(zhí)行基本的對抗性測試，并探查簡單的邊緣情況和邊界條件。但是在其他許多方面仍然有很大的發(fā)展空間。例如，只有32％的組織將黑盒安全工具集成到質(zhì)量檢查流程中。

　　部署：滲透測試

　　活動：使用外部滲透測試人員來發(fā)現(xiàn)問題

　　使用外部滲透測試人員是大多數(shù)軟件團(tuán)隊(duì)進(jìn)行滲透測試的必選項(xiàng)。根據(jù)BSIMM11，近88％的人使用外部滲透測試人員來提供代碼和配置中可利用漏洞的證據(jù)。此外，有77％的企業(yè)將這些測試的結(jié)果用于漏洞管理和緩解系統(tǒng)，并有68％的人通過紅隊(duì)測試和其他內(nèi)部引導(dǎo)的滲透測試來作為外部滲透測試結(jié)果的備份。

　　部署：軟件環(huán)境

　　活動：確保主機(jī)和基礎(chǔ)網(wǎng)絡(luò)安全措施到位

　　BSIMM11發(fā)現(xiàn)，主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)安全措施是所有組織中最常見的軟件安全措施。大約93％的組織表示首先要確保的是運(yùn)行軟件的數(shù)據(jù)中心和網(wǎng)絡(luò)資產(chǎn)的安全性，因?yàn)樵搱?bào)告指出：“在主機(jī)和網(wǎng)絡(luò)的安全性沒有確保之前，談?wù)搼?yīng)用安全性就像先穿鞋后穿襪子?！?/p>

　　部署：配置管理和漏洞管理

　　活動：創(chuàng)建事件響應(yīng)或與事件響應(yīng)交互

　　盡管許多組織在跟蹤和修復(fù)軟件錯(cuò)誤方面非常掙扎，但至少83％的企業(yè)已在開發(fā)人員和安全事件響應(yīng)人員之間建立了某種形式的接口。此外，有78％的受訪者還報(bào)告說，他們通過運(yùn)行監(jiān)控發(fā)現(xiàn)了軟件缺陷，并將其反饋給開發(fā)人員。但是，更高級的活動（例如使用運(yùn)營中識別的錯(cuò)誤信息來運(yùn)行軟件事件響應(yīng)模擬，以改善安全軟件開發(fā)生命周期）仍然難以實(shí)現(xiàn)，只有8％的人從事這項(xiàng)活動。