隨著科技的不斷進(jìn)步，軟件因其方便、快捷、實(shí)用性強(qiáng)等特點(diǎn)，在各個(gè)領(lǐng)域中得到了廣泛的應(yīng)用。然而，隨之而來(lái)的安全問(wèn)題也日益凸顯，從軟件缺陷到漏洞，再到大規(guī)模的數(shù)據(jù)泄露，特別是現(xiàn)在，越來(lái)越多的企業(yè)將一些關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到線上，軟件安全一旦出現(xiàn)問(wèn)題可能帶來(lái)災(zāi)難性的后果或重大經(jīng)濟(jì)損失，因此，有效地評(píng)估軟件的安全性十分必要。

　　現(xiàn)在，企業(yè)組織通常會(huì)從其軟件開(kāi)發(fā)生命周期中收集安全指標(biāo)，實(shí)施基本安全措施，并將保護(hù)用戶(hù)數(shù)據(jù)的義務(wù)定義為基本安全策略的一部分。

　　根據(jù)年度《構(gòu)建安全成熟度模型》（BSIMM）報(bào)告顯示，超過(guò)四分之三的受訪組織定期采取10項(xiàng)常見(jiàn)安全措施來(lái)改善其整體防御態(tài)勢(shì)，其中包括檢測(cè)其安全開(kāi)發(fā)生命周期（SDLC）以及使用自動(dòng)化工具等等。

　　構(gòu)建安全成熟度模型（BSIMM）是一種數(shù)據(jù)驅(qū)動(dòng)的模型，采用一套面對(duì)面訪談技術(shù)開(kāi)展 BSIMM評(píng)估，唯一目標(biāo)就是觀察和報(bào)告。它是一把衡量企業(yè)在軟件開(kāi)發(fā)階段構(gòu)建軟件安全能力的標(biāo)尺。BSIMM軟件安全框架（SSF）包含四個(gè)領(lǐng)域--治理、 情報(bào)、SSDL觸點(diǎn)和部署。這四個(gè)領(lǐng)域又包括12個(gè)實(shí)踐模塊，而這12個(gè)實(shí)踐模塊中又包含122項(xiàng)BSIMM活動(dòng)。

　　該報(bào)告就是基于對(duì)受訪企業(yè)的12個(gè)實(shí)踐模塊進(jìn)行評(píng)估，詢(xún)問(wèn)他們是否進(jìn)行了122項(xiàng)不同的安全活動(dòng)中的任何一種。結(jié)果顯示，在參與調(diào)查的128家公司中，92%的公司從其軟件開(kāi)發(fā)生命周期收集數(shù)據(jù)以提高安全性，而91%的公司定期確認(rèn)其基礎(chǔ)主機(jī)和網(wǎng)絡(luò)安全措施的狀態(tài)--根據(jù)BSIMM調(diào)查生成的排名列表，這正是受訪組織中最常見(jiàn)的兩項(xiàng)安全舉措。

　　BSIMM報(bào)告的作者之一Eli Erlikhman表示，這些數(shù)據(jù)表明，企業(yè)組織在完善其軟件安全流程方面正取得重大進(jìn)展。他解釋稱(chēng)，“我們看到軟件安全流程方面正在得到進(jìn)一步改進(jìn)，組織在某些領(lǐng)域變得更好，例如控制開(kāi)源風(fēng)險(xiǎn)、供應(yīng)商安全以及缺陷發(fā)現(xiàn)等。與此同時(shí)，我們也看到該行業(yè)仍有改進(jìn)的空間，組織應(yīng)該繼續(xù)增強(qiáng)自身的能力。”

　　目前的評(píng)估結(jié)果發(fā)現(xiàn)，越來(lái)越多涉及勒索軟件攻擊和軟件供應(yīng)鏈攻擊的公共事件（例如針對(duì)遠(yuǎn)程管理軟件制造商Kaseya的攻擊事件）使企業(yè)組織更加關(guān)注旨在預(yù)防或減輕事件的措施。在過(guò)去兩年中，61%的受訪組織正在積極尋求識(shí)別開(kāi)源風(fēng)險(xiǎn)--今年是74 家，而兩年前是 46家--而55家公司已經(jīng)開(kāi)始授權(quán)模板軟件許可協(xié)議，比兩年前增加了57%。

　　在過(guò)去的18個(gè)月中，企業(yè)組織經(jīng)歷了數(shù)字化轉(zhuǎn)型計(jì)劃的“大跨步”?？紤]到這些變化的復(fù)雜性和速度，對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，擁有能夠讓他們了解自身立場(chǎng)并為下一步行動(dòng)提供參考的工具，變得前所未有的重要。

　　BSIMM報(bào)告旨在讓公司能夠就如何隨著時(shí)間的推移改進(jìn)其軟件安全工作做出數(shù)據(jù)驅(qū)動(dòng)的決策。10 項(xiàng)最常見(jiàn)的舉措--以及參與這些舉措的組織比例如下所示：

　　實(shí)施生命周期檢測(cè)并用于定義治理（92%）；

　　確保主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)措施到位（91%）；

　　確定PII義務(wù)（89%）；

　　執(zhí)行安全功能審查（88%）；

　　使用外部滲透測(cè)試人員發(fā)現(xiàn)問(wèn)題（87%）；

　　創(chuàng)建或與事件響應(yīng)交互（84%）；

　　集成并提供安全功能（80%）；

　　使用自動(dòng)化工具（80%）；

　　確保QA執(zhí)行邊緣/邊界值條件測(cè)試（78%）；

　　將合規(guī)性約束轉(zhuǎn)化為需求（77%）；

　　數(shù)據(jù)表明，總的來(lái)說(shuō)，企業(yè)組織在軟件安全方面正變得越來(lái)越成熟。兩年前，BSIMM報(bào)告發(fā)現(xiàn)，只有70%的受訪組織執(zhí)行了前10項(xiàng)舉措中最不常見(jiàn)的舉措，而今年這一比例為77%。

　　BSIMM調(diào)查還顯示，越來(lái)越多的企業(yè)組織專(zhuān)注于保護(hù)其軟件供應(yīng)鏈并確保其基礎(chǔ)設(shè)施安全。兩個(gè)增長(zhǎng)最快的活動(dòng)是為容器和虛擬化環(huán)境應(yīng)用編排，參與企業(yè)從兩年前的5家增加到33 家，其次是確保云安全基礎(chǔ)，現(xiàn)在是59家企業(yè)參與，而兩年前僅有9家。

　　檢查軟件物料清單（SBOM）是另一個(gè)快速增長(zhǎng)的軟件安全領(lǐng)域，有14家企業(yè)采取了這項(xiàng)活動(dòng)，而兩年前只有3家公司。

　　報(bào)告還發(fā)現(xiàn)，其中許多活動(dòng)都從“專(zhuān)注于將安全性進(jìn)一步轉(zhuǎn)移到開(kāi)發(fā)”--所謂的“左移”（shift?left）--轉(zhuǎn)變?yōu)椤皩?zhuān)注于將安全活動(dòng)添加到需要的地方”--所謂的“無(wú)處不移”（shift?everywhere）。運(yùn)營(yíng)基礎(chǔ)設(shè)施的自動(dòng)化安全驗(yàn)證就是一個(gè)例子，其中安全性從左移到開(kāi)發(fā)，右移到運(yùn)營(yíng)，更全面地轉(zhuǎn)移到工程中。