日前，新思科技發(fā)布了其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)報告——BSIMM11，調(diào)研結(jié)果顯示，許多企業(yè)正在調(diào)整其軟件安全計劃，以支持數(shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

BSIMM模型是新思科技軟件質(zhì)量與安全部門推出的面向軟件開發(fā)安全領(lǐng)域的調(diào)研活動，旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動，覆蓋多個垂直行業(yè)，包括金融服務(wù)、金融科技、獨立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售等。

BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對超過49萬名開發(fā)人員有指導(dǎo)作用。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁在接受記者采訪時表示，此次發(fā)布的BSIMM11報告里，企業(yè)在保證軟件開發(fā)安全的措施出現(xiàn)了新趨勢。

趨勢一：工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實現(xiàn)彈性的 DevOps 價值流貢獻力量。

BSIMM11數(shù)據(jù)表明，持續(xù)集成和持續(xù)交付(CI/CD)工具和運維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作，并且正在影響SSI的組織、設(shè)計和執(zhí)行方式。例如，軟件安全團隊越來越多地向技術(shù)小組或首席技術(shù)官匯報工作（而不是IT安全團隊或首席信息安全官），并且正在改變內(nèi)部招募和組織人才的方式。

趨勢二：軟件定義的安全管理不再僅僅是一種愿景。

企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動化活動替代一些摩擦性高的帶外（out-of-band）數(shù)據(jù)安全活動。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

趨勢三:安全“左移”變?yōu)椤盁o處不移”。

“左移”概念的實現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時立即執(zhí)行安全活動。這可能意味著在過去我們認為在左側(cè)（較早期）的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)（偏后期，包括生產(chǎn)階段）。

趨勢四：在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。

在仔細審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后，很明顯有必要添加一個專門面向金融服務(wù)的ISV單獨的垂直行業(yè)。

新的調(diào)研報告顯示，在過去的一年中，添加到BSIMM10中的三個安全措施（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動驗證運營基礎(chǔ)運維安全性），采用的企業(yè)數(shù)量取得了驚人的增長。這反映了一些企業(yè)如何積極加速軟件安全工作，逐漸向DevSecOps的轉(zhuǎn)變，以適應(yīng)軟件交付的速度。

此外，BSIMM11又添加了兩個來自企業(yè)的兩個新安全措施（ST3.6 自動實施事件驅(qū)動的安全性測試，CMVM3.6 發(fā)布可部署工件的風(fēng)險數(shù)據(jù)），而這顯示了上述趨勢在延續(xù)。

云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異：金融服務(wù)、醫(yī)療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團隊，因此與醫(yī)療保健和保險行業(yè)相比，擁有更為成熟的軟件安全實踐。

因此，BSIMM11首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓(xùn)、安全測試和代碼審查實踐中。

最新BSIMM11報告下載。