本文提供了关于 BSIMM 的常见问答。 下载 BSIMM 文件,一睹完全未经发掘的模型风采。
常见问答
什么是 BSIMM?
BSIMM(读作“bee simm”)是内置安全成熟度模型 (Building Security In Maturity Model) 的缩写。BSIMM 研究在现实世界中组织的软件安全计划,帮助您确定您的软件安全计划进展情况,以及如何逐渐改善您的安全工作。
为什么需要软件安全?
软件安全是指构建即便遭受攻击仍然安全的软件。我们从多年的网络安全经验中得知,只要在构建软件时牢记安全,保护软件就会变得容易得多。而且,安全是财产而不是杂物,所以软件安全涉及的内容远远不止于简单地在软件中添加 SSL或密码 等安全功能。
谁需要这种事务?
依靠软件工作的组织(如今几乎是每一个人)需要的软件应当不会泄露数百万条身份记录,给选举结果带来质疑,导致承担巨大的法律责任,或者让秘密落入坏人之手。要想让软件值得信赖,唯一的办法就是置入安全。简言之,依靠软件的所有人都需要 BSIMM。
BSIMM 有什么特别之处?
构建 BSIMM 时,我们依据的是研究实际软件安全计划得出的观察结果。BSIMM 告诉您的不是应该怎么做;而是其他人实际上都怎么做。这种方法与 “基于信念”的软件安全方法截然相反。
你们研究过谁?
开展当前评估时,平均有 120 家参评公司(截至 2018 年 6 月,经营年限介于不足一年到 19 年之间)实施了 4.13 年的软件安全。120 家公司一致认为,他们的计划能够成功,都是因为有一个致力于软件安全的内部团队——SSG。SSG 平均规模为 13.3 人(最少 1 人、最多 160 人、中位数为 5.5 人),其他人员(开发人员、架构人员和组织中直接从事和促进软件安全的人员)构成的卫星组织平均由 52.4 人组成(最少 0 人、最多 2,250 人、中位数为 0 人)。研究对象的平均开发人数为 3,463 人(最少 20 人,最多 45,000 人,中位数为 900 人),平均开发收益百分比为 1.33%(中位数为 0.67%)。
总而言之,BSIMM 描述了在 6,291 名卫星人员的配合下工作的 1,600 名 SSG 成员,旨在确保 415,598 名开发人员开发的软件保证安全。
这些企业内部由谁实际负责这种事务?
我们研究的主管软件安全计划的高管担任各种职务,包括首席数据和安全隐私官、CISO、CSO、企业安全架构总监、全球安全与合规总监、产品安全总监、产品运营执行总监、应用安全架构与工程负责人、应用安全计划负责人、信息安全工程经理、产品安全经理、应用安全与技术分析董事副总裁、网络安全副总裁、信息安全副总裁和网络安全经理。我们观察到 SSG 恰恰在我们研究的公司中存在的领域相当广泛。具体而言,120 家参与研究的公司中有 63 家拥有由 CISO 作为直属高管运作或领导的 SSG。13 家公司通过 CTO,10 家通过 CIO、7 家通过 CSO、4 家通过 COO、2 家通过 CRO、1 家通过 CAO,作为直属高管领导 SSG 工作。二十个 SSG 通过某些技术或产品组织汇报工作。
BSIMM 包含什么?
BSIMM 根据 软件安全框架描述了在 12 种实践中组织的 116 项活动。研究期间,我们坚持追踪观察到的各项活动的次数。以下是得出的数据(如需单独解读各项活动, 请下载一份 BSIMM 文件, 其中详细描述了这 116 项活动)。
描述活动时,我们给出对象、一段描述和一个或多个实例,用以说明组织是如何实现这项活动的。这些实例从来不是开展特定活动的唯一方式,但我们认为它们有助于理解软件安全实情。
那么我现在需要执行 116 项安全活动吗? 听起来很多。希望你们不期待此刻收到郑重感谢。
别怕!没有组织执行了所有活动。我们在金融服务机构、独立软件供应商 (ISV) 和我们研究的 IoT 公司之间找到了相当多的共同点,但是 他们的计划并不相同,而且每个组织都至少有少许不同。您不会按部就班地执行朋友的财务计划,对吧? 因而也不要指望搭乘别人软件安全计划的便车。使用 BSIMM 作为创意来源和一般指南—— 作为路径指南而不是手把手教导的菜谱。
为什么有些活动得到强调?
12 项得到强调的活动是 在各项实践中最常被观察到的活动。
“所有人”都会完成的十二项核心活动
| 活动 | 描述 |
| [SM1.4] | 确定门的位置并收集必要工件。 |
| [CP1.2] | 确定 PII 责任。 |
| [T1.1] | 提供意识培训。 |
| [AM1.2] | 创建数据分类大纲和明细。 |
| [SFD1.1] | 构建并发布安全功能。 |
| [SR1.2] | 创建安全门户。 |
| [AA1.1] | 执行安全功能审查。 |
| [CR1.2] | 安排 SSG 执行特别审查。 |
| [ST1.1] | 确保 QA 支持边缘/边界值条件测试。 |
| [PT1.1] | 聘用外部渗透测试人员查找问题。 |
| [SE1.2] | 确保具备主机和网络安全基础条件。 |
| [CMVM1.2] | 确定在操作监督过程中发现的软件缺陷并向开发部门反馈。 |
我是个偏爱直观的人。请为我画张图。
为了让您对 BSIMM 提供的分析功能有一个概念,下面三幅蜘蛛图显示了 12 项实践在一些组织中的平均成熟度水平。第一幅图展示了所有 BSIMM 公司的数据(我们称之为“地球”)。第二幅图展示了一个假企业样本按照地球绘制的数据。
保险、医疗保健和金融这三个加入 BSIMM 的行业接受严格的行业监管。根据我们的经验,大型金融服务公司对监管变更作出反应并发起 SSI 的时间远远早于保险和医疗保健公司。尽管金融服务公司在过去五年中的数量翻了一番,它们大量涌入 BSIMM 新启动的计划,但金融服务业 SSG 的平均评估年限仍为 5.4 年,而保险业为 3.1 年,医疗保健业为 2.5 年。在并排对比中发现,金融服务业投入较多时间,提高集中 SSI 的成熟度。虽然保险行业包括一些成熟度异常值,但这三个受监管的行业的数据显示,保险业在软件安全方面表现普遍落后。我们发现医疗保健业与之形成鲜明对比,几乎没有异常值。医疗保健行业的总体成熟度仍然较低。
参与这项研究的每个人都很擅长软件安全吗?
绝对不是。通过计算研究的每家公司的得分,我们也可以看看一家公司的相对成熟度和平均成熟度。当前数据池的跨度为 [5, 79]。
我们很高兴地发现 BSIMM 研究正在逐年增长。我们报告的数据集比最初发布的规模增加了 35 倍)。请注意,一旦样本规模超过 30 家公司,我们就开始应用统计分析,产生统计效果显著的结果。
BSIMM 是一套标准吗?
BSIMM 不是像信息系统和技术控制目标 (COBIT) 或乒乓球官方规则一样的标准。相反,BSIMM 描述的是世界上多数成功的软件安全计划执行的一系列活动。从这个意义上讲,这是一套事实上的标准,因为这是各个组织的实际操作。可以说它是我们发现的,而不是空想出来的。
怎样使用 BSIMM?
如果还没有软件安全计划,您就需要一个。您可以使用 BSIMM 入门。BSIMM 可以帮助您确定您的软件安全团队需要多少人,这些人应该先做些什么,以及几年后他们可能要考虑什么事情。如果您已经有一个软件安全计划,那么您可以使用 BSIMM 来了解您的进展,并为将来制定计划。
你们能详细解释一下“我们”是谁吗,第一人称复数先生?
我们是软件安全专家 Gary McGraw、Sammy Migues、和 Jacob West。 Brian Chess 是 BSIMM 最初三个版本的作者。
什么是软件安全团队 (SSG)? 我有吗?
所有 BSIMM 参与者 均有专门负责软件安全的内部团队——软件安全团队 (SSG)。我们从来没有观察到一个组织在没有 SSG 的情况下成功开展了 BSIMM 的活动。我们注意到,在我们研究的所有 120 个组织中,SSG 与开发人员的平均比率为 1.33%。这表示当我们平均计算每个参评公司的比率时,每 75 位开发人员就有一位 SSG 成员。SSG 比例最高达到 10%,最低则为 0.01%。关于这些实体机构,要提醒您的细节是,120 家公司平均 SSG 规模为 13.3 人(最少 1 人,最多 160 人,中位数为 5.5 人)。
我懂了,可是我老板还不懂。软件安全计划如何取得进展?
经过多年的 BSIMM 研究,我们发现有必要阐述软件安全的合理性,就像当初 IT 安全成为主流之前需要阐述其合理性一样必要。当时有些高管根本不理解为什么需要防火墙,或者入侵检测如何帮助防止小问题成为大问题,或者为什么只需教会人们如何思考安全问题即可切实改变企业文化。早先的时候,即便是那些机智地理解了这个问题的经理,有时也非常想知道自己的公司要等多久才会成为受害者。
在 BSIMM 数据池中,我们已经看到软件安全团队 在四种显著的情况下获得租约和资金:
- 高管层表示:“我们会制作安全的软件”,出资支持制作方案(例如微软的盖茨备忘录)。
- 一个负责某种形式的合规性的高管团队确定,软件安全是公司治理过程中的一项必要开支。
- IT 安全职员证明某项违约不是他们的过错,而是公司应用程序导致的。于是,IT 队伍中的一员被指定为软件安全负责人。
- 一位有魅力的软件安全企业家(例如,在 CIO、CTO、法律或治理团队中)负责启动该系统,然后充分利用前期获得的成就,为实际项目募集资金。
看来现在最困难的部分并不一定是说服高级管理层接受这一问题,而是让他们相信您是领导实施解决方案的合适人选,而且您确实胸有成竹。如果您是软件安全负责人(也就是,如果发生重大软件安全故障,您就会被解雇),而您无法为一项计划获得资源以解决问题,那么请立即辞职。真的。人生太短暂,不可做无用功,而且有许多雇主愿意充分利用您的实力。
