中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

BSIMM簡化軟件安全管理

--BSIMM10報(bào)告強(qiáng)調(diào)DevOps和垂直行業(yè)軟件安全成熟度

2019-12-24 11:32:01   作者:新思科技首席科學(xué)家Sammy Migues   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  BSIMM不是單一用途的軟件安全計(jì)劃(SSIs)基準(zhǔn)測試工具。任何人身居軟件安全管理崗位,不論是集中治理導(dǎo)向型抑或是趨近于產(chǎn)品工程導(dǎo)向型,都可以借助BSIMM簡化管理并獲得持續(xù)改進(jìn)的能力。所有的公司,無論其成熟度、規(guī)模和垂直行業(yè)如何,在從頭開始構(gòu)建新的SSI時(shí)以及隨時(shí)間的推移而逐步完善其計(jì)劃的成熟度時(shí),都應(yīng)將BSIMM作為參考指南。
  新思科技(Synopsys, Inc.,Nasdaq: SNPS )在2019年10月發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)--BSIMM10。BSIMM不是實(shí)驗(yàn)室的產(chǎn)物,而是對(duì)上百家公司進(jìn)行了幾百次評(píng)估,真實(shí)地反應(yīng)觀察到的軟件安全活動(dòng)。BSIMM幫助企業(yè)規(guī)劃、執(zhí)行、完善和評(píng)估其SSI ,經(jīng)過10個(gè)版本的迭代,提供更全面、更精細(xì)的報(bào)告。
  首先,我想指出BSIMM并不是操作指南,而是一種描述性模型。我們可以這樣形容:假設(shè)我們?nèi)グ菰L鄰居,并觀察到“在我們參觀的Y房子中,有X座有機(jī)器人真空吸塵器。”請(qǐng)注意,BSIMM不會(huì)做如下之類的報(bào)告:“所有的房子都必須有機(jī)器人真空吸塵器”、“機(jī)器人是唯一可以接受的真空吸塵器”或者“每天必須使用真空吸塵器”,BSIMM也不會(huì)進(jìn)行任何其他價(jià)值判斷。BSIMM只報(bào)告其觀察到的東西,僅此而已。
  相反,BSIMM只是觀察并報(bào)告軟件安全程序的當(dāng)前狀態(tài)。對(duì)企業(yè)的好處是,BSIMM并不是告訴他們用一種單一的方法去做什么,而是詳細(xì)報(bào)告了其它公司已經(jīng)在怎么做了。
  BSIMM10反映了觀察到的122家公司真實(shí)的軟件安全活動(dòng)。代表的公司來自垂直行業(yè),包括云、物聯(lián)網(wǎng)(IoT)、獨(dú)立軟件供應(yīng)商(ISVs)、科技、醫(yī)療保健、金融服務(wù)、保險(xiǎn)及零售業(yè)。
  下圖顯示了所有企業(yè)與示例企業(yè)相比較的蛛網(wǎng)圖。繪制高水位標(biāo)記值可提供低分辨率的成熟度視圖,適用于公司之間、業(yè)務(wù)部門之間,以及同一公司內(nèi)部的比較。與攻擊模型和體系結(jié)構(gòu)分析相比,當(dāng)前的122家公司正在投入更多的精力在策略和指標(biāo)、合規(guī)性和政策以及標(biāo)準(zhǔn)和要求方面,而示例企業(yè)則似乎在攻擊模型、代碼審查和滲透測試領(lǐng)域投入更多。
  藍(lán)色為示例企業(yè)
  這種觀點(diǎn)可以代表整體成熟度,但也可以按行業(yè)縱向細(xì)分研究,以觀察跨活動(dòng)的實(shí)踐和各個(gè)行業(yè)之間的增長差異。
  例如,在金融服務(wù)等受到嚴(yán)格監(jiān)管的行業(yè)中,面向合規(guī)性和政策的安全活動(dòng)激增并不足為奇;相反,我們通?床坏絀SV或IoT在這個(gè)領(lǐng)域有特別大的投入。 BSIMM報(bào)告得知大多數(shù)垂直行業(yè)都對(duì)基礎(chǔ)安全活動(dòng)有深刻的了解。
  由于各種原因,一些垂直行業(yè)在某些領(lǐng)域的努力要比其它垂直行業(yè)多。某些行業(yè)中,他們的特定活動(dòng)與法規(guī)、條文和合同等和法律有關(guān)的事宜掛鉤。BSIMM10包括12個(gè)實(shí)踐模塊,而這12個(gè)實(shí)踐模塊中又包含119項(xiàng)BSIMM活動(dòng)。這119項(xiàng)活動(dòng)的優(yōu)先和受重視程度也會(huì)取決于客戶期望和偏好和隱私規(guī)定等。
  還有另一種情況,不同的垂直行業(yè)根據(jù)對(duì)風(fēng)險(xiǎn)的不同理解來執(zhí)行不同的安全活動(dòng)。我們?cè)诟咚粯?biāo)記值可以看到這一點(diǎn)。而高水位圖又反映了幫助其建立特定SSI的基礎(chǔ)活動(dòng)和較不常見的活動(dòng)。
  我們不能說醫(yī)療保健公司X比保險(xiǎn)公司Y更成熟,因?yàn)檫@就像將蘋果與桔子進(jìn)行比較。為什么?因?yàn)槊總(gè)公司都會(huì)根據(jù)自己的需求制定正確的計(jì)劃。即使他們屬于一個(gè)行業(yè),一家公司進(jìn)行30項(xiàng)活動(dòng),另一家公司進(jìn)行50項(xiàng)活動(dòng),他們的軟件產(chǎn)品也可能具有相同的總體成熟度。
  但是我們可以說,在特定行業(yè)內(nèi)的一組公司所做的事情似乎在整個(gè)行業(yè)內(nèi)都具有重要意義。然后,另一個(gè)行業(yè)的另一組公司進(jìn)行完全不同的活動(dòng),這對(duì)他們來說也很重要。它們不一定是同一項(xiàng)活動(dòng),但是每個(gè)行業(yè)之間都有趨勢。
  我還要指出,BSIMM10是BSIMM研究的第一個(gè)迭代,正式反映了SSI文化的變化。在新一波由工程主導(dǎo)的軟件安全工作浪潮中可以觀察到這一點(diǎn),這些工作源于部署和運(yùn)營團(tuán)隊(duì)自下而上的溝通,而不是軟件安全團(tuán)隊(duì)自上而下的方式。
  在一些企業(yè)中,以工程為主導(dǎo)的安全文化已成為一種建立和發(fā)展有意義的軟件安全措施的方式。即使在幾年前,以工程為主導(dǎo)的安全文化已經(jīng)開始發(fā)揮這個(gè)作用。
  BSIMM數(shù)據(jù)還表明,DevOps運(yùn)動(dòng)以及CI / CD工具和數(shù)字化轉(zhuǎn)型的增長,這正在影響公司為其軟件產(chǎn)品尋求軟件安全的方式。正因?yàn)槿绱,BSIMM10包括三個(gè)新活動(dòng)。BSIMM10新增加的三項(xiàng)活動(dòng)清晰地描述了一條軌跡:軟件定義生命周期治理、軟件定義資產(chǎn)創(chuàng)建的軟件輔助監(jiān)控、以及軟件定義基礎(chǔ)架構(gòu)的自動(dòng)驗(yàn)證。這表明一些企業(yè)正在積極研究如何加快安全部署,以跟上新功能的交付速度。
  企業(yè)開始使用DevOps實(shí)踐,將軟件移向云端。我們看到這是大多數(shù)公司重要變革的推動(dòng)力。隨著DevOps文化和CI / CD工具鏈與云部署相交,我們?cè)诳紤]軟件安全性時(shí)意識(shí)到這是一個(gè)改變行業(yè)格局的進(jìn)展。
  在這些技術(shù)和策略發(fā)展的早期階段,仍有不確定因素,我們尚未完全理解其影響。BSIMM即將到來的新版本肯定會(huì)為企業(yè)從DevOps遷移到DevSecOps提供更多見解,并指點(diǎn)其云部署。
  點(diǎn)擊以下鏈接,可免費(fèi)下載BSIMM10報(bào)告:www.bsimm.com/zh-cn/download.html. https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig
  原文出自:https://dzone.com/articles/bsimm10-highlights-devops-and-vertical-maturity
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)