《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 應(yīng)用安全的十二個最低參照基準(zhǔn)

應(yīng)用安全的十二個最低參照基準(zhǔn)

2020-10-09
來源:安全牛
關(guān)鍵詞: BSIMM11 云計算 應(yīng)用安全

  應(yīng)用程序安全方法論和最佳實踐已經(jīng)有十多年的歷史,其中“安全開發(fā)成熟度模型”(BSIMM)是被企業(yè)采用多年,用來跟蹤安全開發(fā)成熟度進(jìn)度的重要模型。上周,Synopsys發(fā)布了基于BSIMM11模型的報告,對基于金融服務(wù)、軟件、云計算和醫(yī)療等9個垂直行業(yè)的130家公司的軟件安全實踐進(jìn)行了分析,揭示了以下四個應(yīng)用安全趨勢:

  ·工程導(dǎo)向的軟件安全性工作正在成功地推動DevOps價值流追求彈性;

  ·軟件定義的安全治理不再只是抱負(fù);

  ·安全性正在成為質(zhì)量實踐的一部分,而質(zhì)量實踐則被視為可靠性的一部分,而這一切都是為了追求彈性;

  ·“左移”正變成“無處不在”。

  BSIMM11模型將121種不同的軟件安全性指標(biāo)歸納為四個主要領(lǐng)域:治理、情報、安全軟件開發(fā)生命周期(SSDL)接觸點和部署,企業(yè)可通過模型的專有標(biāo)準(zhǔn)對軟件安全實踐進(jìn)行衡量。上述每個領(lǐng)域都可進(jìn)一步細(xì)分為三個實踐類別,其中包含從簡單到非常成熟的眾多活動。

微信圖片_20201009113052.jpg

  與先前的報告類似,BSIMM11分析顯示,大多數(shù)企業(yè)都達(dá)到了基本要求,包括執(zhí)行外部滲透測試以及在整個開發(fā)過程中進(jìn)行基本軟件安全培訓(xùn)之類的活動。

  以下,是BSIMM11報告中企業(yè)安全開發(fā)實踐中最常見的十二項活動(上圖),可以作為企業(yè)保持行業(yè)安全同步的最低參照基準(zhǔn):

  治理:策略和指標(biāo)

  活動:實施生命周期治理

  組織中最常見的基礎(chǔ)活動之一是實施生命周期治理,其中包括發(fā)布條件,例如入口、檢查點、圍欄和里程碑。根據(jù)BSIMM11,有90%的組織已實施生命周期治理。而且許多組織正走得更遠(yuǎn),并且也執(zhí)行治理策略。例如,47%的組織還通過度量和跟蹤異常來驗證發(fā)布條件。

  治理:合規(guī)與政策

  活動:確定PII(個人身份信息)義務(wù)

  大約86%的組織可通過明確其對個人身份信息(PII)的義務(wù)來滿足法規(guī)要求。這是最常見的合規(guī)性活動,同時,有72%的組織能在所有監(jiān)管標(biāo)準(zhǔn)中統(tǒng)一其觀點和實踐。BSIMM11表明,隨著時間的推移,組織也將通過履行其義務(wù)來逐步提高其合規(guī)能力。在過去兩年中,積極在其應(yīng)用程序組合中建立受保護(hù)的PII存儲庫的企業(yè)的數(shù)量已增加了10個百分點,達(dá)到42%。同樣,在同一時間范圍內(nèi),實施和跟蹤合規(guī)控制措施的組織所占比例從36%上升到47%。

  治理:培訓(xùn)

  活動:進(jìn)行安全意識培訓(xùn)

  在組織范圍內(nèi)進(jìn)行某種形式的安全意識培訓(xùn)已成為企業(yè)應(yīng)用開發(fā)組織的行業(yè)規(guī)范,但即便如此仍然有很多企業(yè)未能遵守。據(jù)BSIMM11稱,只有大約64%的企業(yè)對其軟件相關(guān)人員進(jìn)行了至少一個安全意識入門課程的培訓(xùn),即使這些課程是針對特定受眾量身定制。同時,針對特定角色的安全意識培訓(xùn)已經(jīng)很常見,但還尚未成為主流,只有29%的組織從事此活動。

  情報:攻擊模型

  活動:創(chuàng)建數(shù)據(jù)分類方案和清單

  當(dāng)今,大多數(shù)軟件組織在威脅建模、開發(fā)濫用案例以及攻擊者思維方面的成熟度還很低。據(jù)BSIMM11報告,只有63%以上的組織能夠做到這方面的最低要求,即通過創(chuàng)建數(shù)據(jù)分類方案和清單,根據(jù)存儲的數(shù)據(jù)和對攻擊者的吸引力來優(yōu)先考慮應(yīng)用程序的重要性或風(fēng)險級別。同時,只有8%的組織建立了與潛在攻擊者相關(guān)的攻擊模式和濫用案例,在過去幾年中,這一比例一直保持穩(wěn)定。

  情報:安全功能和設(shè)計

  活動:集成并提供安全功能

  為了滿足安全性可重復(fù)的需求,許多組織接受了提供主動指導(dǎo)和代碼以提供預(yù)先批準(zhǔn)的安全性功能的實踐,這些安全性功能包括以模塊方式提供的功能,例如身份驗證、角色管理和加密。這樣,開發(fā)人員不必每次在項目中添加這些標(biāo)準(zhǔn)功能時重新發(fā)明車輪。根據(jù)BSIMM11,大約78%的組織參與了此應(yīng)用安全活動。在安全功能和設(shè)計方面,仍有很大的發(fā)展空間。例如,盡管許多組織向開發(fā)團(tuán)隊提供這些功能資源,但只有11%強(qiáng)制要求使用規(guī)定列表或存儲庫中的批準(zhǔn)的安全功能和框架。

  情報:標(biāo)準(zhǔn)和要求

  活動:將合規(guī)性約束轉(zhuǎn)換為需求

  認(rèn)識到開發(fā)人員不是法規(guī)遵從專家(這也不是他們的本職工作),當(dāng)今許多安全組織正在承擔(dān)將諸如PCI DSS標(biāo)準(zhǔn)之類的內(nèi)容解釋為軟件需求的重任。根據(jù)BSIMM11,今天大約有72%的組織在這樣做。將近72%的組織創(chuàng)建了安全標(biāo)準(zhǔn),以解釋從基于身份的身份驗證到如何配置開發(fā)人員基礎(chǔ)結(jié)構(gòu)的所有事務(wù)遵守企業(yè)策略的必需方法。

  SSDL接觸點:架構(gòu)分析

  活動:執(zhí)行安全功能審查

  根據(jù)BSIMM11,現(xiàn)在大約88%的組織會對所開發(fā)的軟件執(zhí)行某種安全功能審查。通常,這仍然是大多數(shù)組織分析其軟件體系結(jié)構(gòu)安全性的唯一方法,但是業(yè)界正在此基礎(chǔ)上發(fā)展。在過去的兩年中,對高風(fēng)險應(yīng)用程序進(jìn)行設(shè)計審查的組織所占的比例已提高了5個百分點,達(dá)到32%。

  SSDL接觸點:代碼審查

  活動:使用自動化工具以及手動審核

  DevSecOps運動和安全擁護(hù)者的多年倡導(dǎo),提高了業(yè)界對代碼審查過程自動化的重視。據(jù)BSIMM11稱,出于效率和一致性的考慮,現(xiàn)在將近77%的組織將靜態(tài)分析合并到代碼審查過程中。對自動化的使用更是五花八門,有些組織將自動化審查構(gòu)建到代碼管理或交付管道工作流程中。但是,這些代碼審查工具并不是始終如一地強(qiáng)制執(zhí)行。只有38%的組織要求所有項目都必須進(jìn)行代碼審查。

  SSDL接觸點:安全性測試

  活動:確保質(zhì)量檢查支持邊緣/邊界值條件測試

  代碼審查只是對已部署軟件的安全性進(jìn)行可靠審查的第一步。其他安全性測試(例如黑盒測試)可檢測軟件構(gòu)建過程中的漏洞。據(jù)BSIMM11稱,至少有八成組織的質(zhì)量檢查團(tuán)隊超出了功能測試范圍,可以執(zhí)行基本的對抗性測試,并探查簡單的邊緣情況和邊界條件。但是在其他許多方面仍然有很大的發(fā)展空間。例如,只有32%的組織將黑盒安全工具集成到質(zhì)量檢查流程中。

  部署:滲透測試

  活動:使用外部滲透測試人員來發(fā)現(xiàn)問題

  使用外部滲透測試人員是大多數(shù)軟件團(tuán)隊進(jìn)行滲透測試的必選項。根據(jù)BSIMM11,近88%的人使用外部滲透測試人員來提供代碼和配置中可利用漏洞的證據(jù)。此外,有77%的企業(yè)將這些測試的結(jié)果用于漏洞管理和緩解系統(tǒng),并有68%的人通過紅隊測試和其他內(nèi)部引導(dǎo)的滲透測試來作為外部滲透測試結(jié)果的備份。

  部署:軟件環(huán)境

  活動:確保主機(jī)和基礎(chǔ)網(wǎng)絡(luò)安全措施到位

  BSIMM11發(fā)現(xiàn),主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)安全措施是所有組織中最常見的軟件安全措施。大約93%的組織表示首先要確保的是運行軟件的數(shù)據(jù)中心和網(wǎng)絡(luò)資產(chǎn)的安全性,因為該報告指出:“在主機(jī)和網(wǎng)絡(luò)的安全性沒有確保之前,談?wù)搼?yīng)用安全性就像先穿鞋后穿襪子?!?/p>

  部署:配置管理和漏洞管理

  活動:創(chuàng)建事件響應(yīng)或與事件響應(yīng)交互

  盡管許多組織在跟蹤和修復(fù)軟件錯誤方面非常掙扎,但至少83%的企業(yè)已在開發(fā)人員和安全事件響應(yīng)人員之間建立了某種形式的接口。此外,有78%的受訪者還報告說,他們通過運行監(jiān)控發(fā)現(xiàn)了軟件缺陷,并將其反饋給開發(fā)人員。但是,更高級的活動(例如使用運營中識別的錯誤信息來運行軟件事件響應(yīng)模擬,以改善安全軟件開發(fā)生命周期)仍然難以實現(xiàn),只有8%的人從事這項活動。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。