供应商专用 BSIMM

vBSIMM

 BSIMM 社区 由众多不同种类的公司组成:主要采购软件的公司、主要构建和销售软件的公司,以及以上两种业务兼有涉及的公司。有意在软件供应商中间推行软件安全的 BSIMM 公司正在率先采用一种软件安全供应商控制模型,称为:vBSIMM- vBSIMM 项目涉及测量大量的供应商,从而评估 SSDL 的成熟度和风险控制。

vBSIMM(供应商专用 BSIMM)

现代企业都会使用大量的第三方软件。这些第三方软件中,一些软件是根据规范定制的,一些软件是商业现货软件 (COTS),还有一些软件则作为软件即服务 (SaaS) 方式存在于云中。许多大公司,特别是金融服务行业的大公司,都在努力研究软件安全,并正在寻找方法来确定和管理第三方软件的风险。

BSIMM 的供应商控制:自测

BSIMM 有五项特定活动(共 116 项)涉及控制与第三方供应商相关的软件安全风险。这五项活动值得宣扬,采购第三方软件的所有公司都应当执行这些活动:

  1. 合规与政策活动 2.4: 在所有供应商合同中加入软件安全 SLA。
  2. 合规 与政策活动 3.2:针对供应商实施政策。
  3. 标准和要求活动 2.5:创建 SLA 样板。
  4. 标准和要求活动 3.2:向供应商传达标准。
  5. 培训活动 3.2:为供应商或外包人员提供培训。

每个采购第三方软件(无论是定制的、COTS 还是其他任何软件)的公司都应该花时间来确定他们与每位供应商开展这五项活动的情况。

采用轻量化 BSIMM 衍生品进行供应商控制

我们推出一种完全经过修订的紧凑型 BSIMM 版本,称为:vBSIMM 在一篇InformIT 文章中作了介绍: vBSIMM 投入运营(修订版供应商专用 BSIMM)。您可以把 vBSIMM 当成针对第三方软件提供商开展供应商管理的基础安全控制措施。

但是 vBSIMM 方案还远远不够完善,它尚且不能保证任何特定的供应商产品能够切实保障一切使用都足够安全。但是 vBSIMM 方案要比没有任何供应商控制好得多,并且在我们看来,它远比基于 badness-ometer(恶劣程度指示盘)方案利用事后渗透测试,只关注少数故障的方式优秀。

供应商专用 BSIMM 数据手册