随着5G、边缘计算、大数据以及物联网的快速发展,无人驾驶、智能工厂全面普及,人人互联、机机互联,甚至人机互联成为可能,在信息化迅速发展的今天,软件应用服务正渗透到各行业和领域,软件应用自身的安全问题也成为焦点。
当前全球安全事件频发,代码程序漏洞是关键诱因之一。程序的安全漏洞需要尽早被发现,如果运行中的系统被曝出漏洞,企业会付出比安全前置更高的修复代价。根据美国国家标准与技术研究所(NIST)的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍。所以为了避免安全漏洞出现造成的巨大损失,软件安全方案的制定就成为了企业发展过程中的重中之重,那么如何来制定软件安全方案来确保企业内部的正常运转呢?如何确保软件安全方案是否安全?带着这些问题,我们采访到了新思科技软件质量与安全部门高级安全架构师杨国梁先生,听他为我们深度解读软件安全的相关疑问。
众所周知,安全行业在当前的高速发展过程中,出现了一些亟待解决的“怪现状”。比如,行业普遍重视“攻”,而忽视“防”,造成防守人才极度匮乏,进而使得攻守失衡。再比如,业界普遍重视“人手”,而轻视“自动化”,让大量的安全工作都是低级重复性的,效率非常低下。
这些安全问题遍布在各行各业,金融、医疗,云、保险、零售等行业,为了解决安全问题,许多企业也身体力行。为此,杨国梁先生表示,现如今每家企业都需要明确的软件安全方案来聚焦工作,敏捷、CI/CD或者DevOps既不是软件不安全的原因也不是解决方案,并且软件安全的构建需要不同团队,不同角色,不同流程,不同人来群策群力,就是所谓的DevSecOps。
并且伴随着包括新技术,新的安全问题诸如容器&微服务、供应链的安全、开源的安全等问题的出现,会有一些监管要求、合规要求等等这些,所有的一切的东西都在变化中,新漏洞和攻击方式也在不断出现,所以只有一个相对比较完整的软件安全方案(SSI)才能指导你更好的构建你的安全产品,或者指导你做好软件安全的开发的过程。
那么,如果企业构建出来的软件安全方案,怎样来评估SSI是否安全呢?杨国梁先生谈到,现在越来越多的企业注重软件安全解决方案的评估和测试,自2008年,新思科技共计对211家企业开展了约500次BSIMM测评,本次也发布了BSIMM11,其非常注重数据的“新鲜度”,相较于前十个版本,BSIMM11强调从安全“左移”变为“无处不移”,工程技术导向的软件安全工作正在成功地为实现弹性的DevOps价值流贡献力量;更广泛使用CI/CD和DevOps;在过去三年BSIMM的模型中,观察到了8个新的活动,其都与DevSecOps有关,所以DevSecOps也是一个明显的增长趋势。此外,软件定义安全管理不再仅仅是一种愿望,软件化的自动化的东西越来越多,而不再是纯粹的依靠人员的管控,像一些所谓pipeline的东西,现在已经不管是软件还是测试本身都变成一些infrastructure基础设施架构级别的一些东西。
众所周知,新冠疫情的影响,加速了企业数字化转型的进程,大量线下业务转移到线上,对于BSIMM本身的评估方式也是有变化的,之前是现场评估,现在疫情的影响导致整个评估的工作改为了线上。
谈到做BSIMM测试的企业,杨国梁先生表示,目前做测试的国外的企业居多,中国企业占比较少,并且行业属性比较垂直。在这些测试的行业中,云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异体现在培训、安全测试和代码审查实践中。
访谈最后,杨国梁先生谈到,在国家和各企业高度重视软件安全问题的情况下,BSIMM将根据技术的安全等问题的出现不断进行更新和升级,帮助企业掌握软件安全方案的现状,提供视图的可视性;衡量新的软件安全的方法;评估企业自身的软件安全方案策略;建立衡量软件安全方案进展的方法,给出企业提升的建议;展示软件安全的状态,收集具体细节,以向公司高层或董事会说明安全方案如何发挥作用。