一年一度的新思科技BSIMM最新版本——BSIMM12終于伴随着這個暖冬一起到來了。2021年11月12日,在新思科技位于上海的新辦公室,新思科技軟體品質與安全部門進階安全架構師楊國梁接受了我們的采訪,圍繞着BSIMM12帶來的新變化與新特色進行了詳盡的闡述。
新思科技的新辦公室
作為一個描述性的模型,BSIMM旨在為企業提供極具參考價值并且可量化的軟體安全的事實标準,幫助企業在一衆優秀的目标樣本中,找到自己的坐标。
新思科技軟體品質與安全部門進階安全架構師楊國梁
楊國梁也重點強調了這一點。他表示,BSIMM是一把标尺,通過直覺的可視性的資料,可以幫助企業了解自家的軟體安全到底在一個什麼樣的水準,和别家相比優勢在哪,劣勢在哪,以及面臨哪些風險和不足,進而更好地驅動軟體安全的落地。
那麼,新一代的BSIMM12有哪些新的特征,觀察到了什麼樣的新趨勢?和前代相比,BSIMM12反映了觀察到的128家公司的軟體安全實踐(BSIMM11為130家),保持了一貫的資料新鮮度。而從新趨勢來看,開源、雲和容器安全的活動增長顯著。同時,勒索軟體和軟體供應鍊中斷開始促使軟體安全備受關注。
軟體供應鍊安全是最為顯著的趨勢。諸如勒索病毒攻擊的出現,也許并不是軟體本身的問題,而是來源于供應鍊的瑕疵。而應對之策則是通過營運物料清單,增強運用庫存盤點的方式。
“當把開源元件或者第三方元件引入到系統時,企業需要盤點引用了哪些元件并對它們進行實時的監控,進而及時處理新的安全漏洞“,楊國梁表示。也由此,企業已經開始注重在供應鍊環節就確定軟體的安全性,這項活動将會增長367%。
将風險轉化為資料是另一個主要趨勢。 企業正更加努力地收集和釋出他們的軟體安全計劃資料,過去 24 個月,“在内部釋出有關軟體安全的資料”活動增加了 30%。
過去兩年中,與雲安全相關的活動平均有36次新觀察結果。是以,企業開始培養自己的雲安全管理能力。正如楊國梁所言:“近兩年,與雲原生和容器技術相關的安全活動的資料在持續上升,比如說對容器和虛拟化環境使用編排功能的觀察增加了560%。”另外,現代軟體中開源元件盛行,利用開源漏洞進行的攻擊頻發。BSIMM12的資料表明,過去兩年軟體安全企業對開源的識别和管理活動增加了61%。
楊國梁進一步強調,安全團隊正在借調資源、人員和知識為DevOps團隊賦能。BSIMM資料顯示,軟體安全團隊正在從強制性的軟體安全行為朝着合作夥伴角色轉移——為 DevOps 實踐提供資源、人員和知識,目的是将安全工作納入軟體傳遞的關鍵路徑。
BSIMM12收集了共128家的活躍樣本資料,之是以每一個版本都有變化,是因為需要保持資料的新鮮度。而新鮮度的時間節點為42個月,“但凡超過42個月沒有做新評估的,就會把它移除出資料池。因為它的資料已經不再具備代表性了。”
行業屬性一直是BSIMM的特色之一。BSIMM12就覆寫了多個垂直行業,包括金融服務、金融科技、獨立軟體供應商(ISV)、雲、醫療保健、物聯網等。那麼,行業劃分的依據是什麼?對此,楊國梁解釋道,“判斷行業形成的标準,就是在評估的過程中,是不是有足夠多相同行業的公司被評估到。”
從各行業劃分來看,金融類一直是一個相對比較大的分支。而從地理位置上來看,目前絕大多數行業還是在北美,占到79%,歐盟包括英國是13%,亞太也在逐年增多,包括比較多的是在中國的評估。以OPPO為例,已經做了不止一次BSIMM評估,而且是分别針對不同部門的産品線以及同一部門的時間軸進行比較,并從對比中獲得收益。
另外,不同的行業也會有不同的側重點。比如,“金融的合規流程制定比較強。而像高科技、物聯網和雲廠商,對于實施環境上的漏洞管理和安全測試的要求就會更高”,楊國梁表示。是以,企業可以選擇适合自己的行業和角度,有側重性地來進行對比。
楊國梁接下來介紹了新思科技提供的完整的應用安全解決方案。這個解決方案共分為三層大的架構,底層“AppSec政策、計劃及服務”指的是如何設計整個應用安全的政策,如何開展整個計劃以及支撐整個計劃的服務。
中間層的架構中,提供了可覆寫各個環節的安全測試服務和一系列頂尖的安全工具。其中,安全測試服務無論托管還是現場的情形都适用。
而頂層的架構則提供了三個實用工具。Code Sight意指把安全測試前置到編碼的環節。Intelligent Orchestration是用一套智能平台來告訴客戶針對不同環境的應用,應該調用什麼樣的安全環節和手段。
Code Dx則是新思科技2021年剛收購進來的,它的作用是面對安全工具檢測出來的過多的安全問題,在各個工具裡面把重疊的問題去重,然後把有效的問題按照嚴重程度來排序,進而大幅提高效率。此外,裡面還應用了一個機器學習模型,可用來預測新報出來的問題到底是不是一個問題,更進一步地節省人工判斷的時間。
最後,楊國梁強調,安全團隊面臨着越來越多的挑戰,資訊安全時常會有新的法規出來,安全的靈活開發愈發關鍵和重要。
在大規模的生産環境下,如何去監控資料,如何把安全活動進行可視化,都是安全團隊亟待解決的問題,尤其是開源、雲和容器安全的活動增長顯著的情況下。而新思科技BSIMM12則為企業提供了一個更為先進的工具和标準,同時其完整的、智能化的應用安全解決方案也大大促進了效率的提升。