• <blockquote id="kmaey"></blockquote>
    <samp id="kmaey"></samp>
  • Top
    首頁 > 正文

    新思科技發布BSIMM12 助力企業軟件安全再啟程

    影響廣泛的勒索軟件和軟件供應鏈中斷促使軟件安全日益受到關注,來自勒索軟件的攻擊以及供應鏈的中斷風險都在威脅著企業的軟件安全。
    發布時間:2021-11-20 17:13        來源:賽迪網        作者:

    【賽迪網訊】如何讓自己的軟件更安全是許多企業必須持續思考的永恒課題,而打造安全可靠的軟件離不開嚴謹科學的軟件安全構建評估模型。

    新思科技作為一家深耕軟件安全的科技公司,自2008年首次發布新思科技軟件安全構建成熟度模型(BSIMM)以來,近日新思科技全新發布了BSIMM的第十二個版本——BSIMM12。為此,在新思科技BSIMM12媒體采訪會上,新思科技軟件質量與安全部門高級安全架構師楊國梁詳細介紹了BSIMM12的一些基本情況,并分享了新思科技從事軟件安全方案評估十多年以來的思考。

    BSIMM12的要點所在 

    在重點介紹BSIMM12之前,楊國梁首先談到了新思科技持續做BSIMM報告的初心。他指出,BSIMM模型從一開始就完整地考慮了整個軟件安全計劃的方方面面,創建了以企業實際活動為基礎的描述性模型。楊國梁著重強調了BSIMM模型定期收集數據以保持數據新鮮度。除此之外,新思科技還創建了社區以分享最新發現,并推動軟件安全計劃的業務轉型。

    微信圖片_20211120170829

    楊國梁總結了最新的BSIMM12版本的要點。他指出,影響廣泛的勒索軟件和軟件供應鏈中斷促使軟件安全日益受到關注,來自勒索軟件的攻擊以及供應鏈的中斷風險都在威脅著企業的軟件安全。

    他還指出企業正在學習如何將風險轉化為數據,使風險可視化,幫助針對軟件安全的決策設計。此次發布的BSIMM12版本還增強了云安全功能,在其中加強了容器編排和容器安全問題的處理。楊國梁還認為安全團隊正在為DevOps實踐提供資源、人員和知識。安全團隊的主要職能將從傳統的集中管控與合規管理向賦能DevOps團隊轉變。

    楊國梁還談到了一個新的趨勢,即軟件物料清單關注度提升。他指出現在在軟件行業內也在推行Software BOM(SBOM)的概念。為了加強對供應商提供產品的安全管理,需要通過運營物料清單增強應用庫存盤點來加強安全監管。

    利用BSIMM達成目標 

    楊國梁強調BSIMM并不是一套方法論或者指導性的模型,而是衡量安全活動的標尺。

    楊國梁談到了BSIMM如何幫助客戶達成安全相關的目標,他將其總結為六點:掌握SSI的現狀,提供可視性;衡量新的軟件安全方法;評估企業自身的軟件安全方案策略;建立一個衡量軟件安全方案進展的方法;展示軟件安全狀態(向客戶、合作伙伴和監管機構);收集具體細節,以向公司高層或董事會說明安全方案如何發揮作用。

    他認為BSIMM模型不僅可以幫助客戶達成供應鏈的安全目標,還可以對監管機構進行展示、自證。

    安全團隊面臨的挑戰

    楊國梁還指出了安全團隊面臨的主流挑戰。首先是擁抱數字化轉型及云技術,由于企業數字化轉型的過程中涉及到大量云相關的技術,因此亟需保證這種技術的安全性。相關的安全問題還有基礎設施即代碼的安全問題,以及容器鏡像的管理、基礎設施的管理問題等等。

    第二是為工程團隊及AppSec團隊搭建橋梁。他認為必須要建立起開發團隊和安全團隊之間的橋梁,要建立起幫助雙方相互理解的模式。

    第三是向“無處不移”轉變。具體來說,他認為安全活動不能只是一味追求“左移”(shift left)。最近兩年由于容器技術的興起,導致一些安全活動只能在容器里部署的階段才監控,還要適度地向“右移”(shift right),向部署階段、監控階段進行安全活動。除了這些之外,公司各個環節都有相應的安全工作,所以它從“左移”(shift left)變成“無處不移”(shift everywhere)的趨勢。

    第四是DevSecOps的問題,他指出越來越多的企業開始采用DevSecOps高生產力兼顧安全的模型,而在DevSecOps的過程中如何確保效率以及安全也是一種挑戰。

    第五是大規模工作的可視性。楊國梁認為,在海量的代碼之下如何確保得到相應的數據尤其是與安全相關的數據,以及利用這些數據指導工作開展是十分困難的。

    第六是管理供應鏈風險。他認為安全團隊必須緊密關注供應鏈的每一個環節,并做好相應的管控,避免出現供應鏈遭受攻擊的情況。

    他還介紹了新思科技的Intelligent Orchestration平臺,該平臺能夠把一些從流程導向的傳統安全活動,逐漸轉變為從風險導向的。

    而當被問及BSIMM在國內企業中的適用范圍時,楊國梁表示,我們不挑行業,某個行業如果到了一定的規模,新思就會對這個行業推出它的評估平均值的蛛網圖報告。但由于在實踐過程中實際上并不是所有企業都奔著得滿分去的,因此評判BSIMM模型的適用范圍的真正標準實際上是是否對企業有益處,或者說在安全評估方面有無需求。(文/徐培炎)

    專題訪談

    合作站點
    stat
    国语一级婬片A片免费
  • <blockquote id="kmaey"></blockquote>
    <samp id="kmaey"></samp>