常见问答

这里提供了关于 BSIMM 的常见问答。想要了解完整模型,在此下载 BSIMM 报告


什么是 BSIMM?

BSIMM(读作“bee simm”)是软件安全构建成熟度模型 (Building Security In Maturity Model) 的缩写。BSIMM 是对现实世界中组织的软件安全方案进行的一项研究,帮助企业确定其软件安全方案进展情况,以及如何逐步改善企业的安全工作。

返回顶部


为什么需要软件安全?

软件安全是关于构建即便受到攻击仍然安全的软件。我们从多年评估网络安全漏洞的经验中得知,如果在构建软件时考虑到安全,保护软件的安全就会变得容易得多。而且,安全是一项非常重要的内容,所以能够抵抗攻击的软件安全涉及的内容远远不止简单的在软件中添加加密算法或密码等安全功能。

返回顶部


谁需要关注软件安全?

开发并依靠软件来开展业务的组织(如今几乎所有企业都从事这些工作)要确保软件不存在以下问题:泄露数百万条用户身份记录;给选举结果带来质疑,从而承担巨大的法律责任;或者让机密信息落入坏人之手。要想让软件值得信赖,唯一的办法就是内置安全(build security in)。简言之,所有依赖软件的企业都需要 BSIMM。

返回顶部


BSIMM 有什么特别之处?

构建 BSIMM 时,我们依据的是研究实际软件安全方案得出的观察结果。BSIMM 不是告诉您应该怎么做;而是其他人实际上是怎么做的。这种对软件安全科学的“观察并报告”的方法与基于个人经验的描述性方法形成了鲜明对比。

返回顶部


BSIMM 评估过哪些企业?

BSIMM12 纳入了 128 家公司。在评估的当下,他们平均已实施了 4.4 年的软件安全工作(截至 2021 年 9 月,企业实施软件安全的时长介于不足一年和 16 年之间)。128 家公司一致认为,他们的方案能够成功,都是因为有一个致力于软件安全的内部团队:软件安全团队 (SSG)。SSG 的平均人数为 22.2 人(最少为 1 人,最多为 892 人,中位数为 7.0 人)。有些企业会有一个由其他人员(开发人员、架构人员或组织中直接从事和促进软件安全的人员)构成的外围团队,该团队平均由 50.4 人组成(最少 0 人、最多 1,500 人、中位数为 1 人)。参与 BSIMM 评估组织的平均开发人员为 3,113.6 人(最少为 5 人,最多为 100,000 人,中位数为 850 人),得出 SSG 与开发团队的平均人数比为 2.59%(中位数为 0.74%)。

总而言之,BSIMM 描述的是 9,285 名 SSG 成员和外围人员携手合作,来确保 398,544 名开发人员开发的软件(将近 153,519 个应用)的安全。

返回顶部


这些企业内部由谁实际负责软件安全?

在我们的研究中,负责软件安全方案的高管同时担任各种各样的职务。包括:

  • 公司安全助理副总裁
  • 应用安全总监
  • 安全保证总监
  • 信息安全副总裁
  • 应用风险管理副总裁
  • 共享服务高级总监
  • 软件安全工程经理
  • 企业软件高级总监
  • 架构和安全高级总监
  • 全球信息安全创新高级总监
  • 全球安全测试负责人
  • 系统开发经理
  • 安全架构师
  • 产品运维执行董事
  • 信息安全运维经理
  • 信息系统经理
  • 嵌入式系统网络安全领导者

我们观察到 SSG 在企业中的组织架构位置有所不同。具体而言,128 家参与研究的公司中,有 67 家的 SSG 是由公司 CISO 或者直接汇报给 CISO 的高管来领导的。有 18 家公司 SSG 汇报的直属高管为首席技术官,4 家为首席信息官,11 家为首席安全官,3 家为首席运营官,2 家为首席风险官,还有 1 家为首席行政官。19 个 SSG 通过工程技术或产品组织的架构汇报工作。

返回顶部


BSIMM 包含什么?

BSIMM 的主要组织功能是其软件安全框架。该框架包含四个领域(治理、情报、SSDL 触点、部署),包含 12 种实践活动:

  • 管理:战略和指标、合规与政策、培训
  • 情报:攻击模型、安全功能与设计、标准和要求
  • SSDL 触点:架构分析代码审查安全测试
  • 部署:渗透测试、软件环境、配置管理和漏洞管理

每项实践都包含其相关活动,BSIMM12 中共发现 122 项活动。研究期间,我们统计了观察到的各项活动的次数。下表显示了得到的数据。(如需各项活动的具体解读,请下载 BSIMM 报告,其中详细描述了 122 项活动)。

BSIMM11 计分卡

对于每项活动,我们均给出一段描述和一个或多个实例,用以说明组织是如何实现这项活动的。这些实例不是开展特定活动的唯一方式,但我们认为它们有助于帮助读者理解软件安全的现实情况。

返回顶部


为什么会有这么多项活动(122 项)?

别担心,BSIMM 是一个观察模型,也就是说当我们看到多个组织开展某项活动时,会把该活动添加到模型中。这个模型是累积性的,没有组织会执行所有活动。多年来,我们在金融服务机构、独立软件开发商 (ISV) 和我们研究的 IoT 公司之间找到了相当多的共同点,但是他们的安全方案并不相同,而且每个组织都有少许不同。就像我们不会直接复制朋友的财务计划,所以也不要指望搭乘别人软件安全方案的“便车”。读者使用 BSIMM 作为想法来源和一般的指南,把 BSIMM 作为指导而不是食谱。

返回顶部


为什么 BSIMM 计分卡中对部分活动予以着重强调?

12 项被强调的活动是在各项实践中最常被观察到的活动。

十二项常见活动
活动描述
[SM1.4]实施生命周期管理。
[CP1.2]确定 PII 责任。
[T1.1]开展安全意识培训。
[AM1.2]制定数据分类方案和数据清单。
[SFD1.1]集成并交付安全功能。
[SR1.3]将合规性约束条件转化为要求。
[AA1.1]开展安全性功能审查。
[CR1.4]使用自动化工具。
[ST1.1]确保 QA 执行边缘/边界值条件测试。
[PT1.1]聘请外部渗透测试人员来查找问题。
[SE1.2]确保主机和网络安全基础能力就绪。
[CMVM1.1]创建事件响应机制或者与事件响应团队交流。

我是个偏爱直观的人。如何用图形化表述这项研究

为了帮您对 BSIMM 提供的分析有所了解,下面的蛛形图表显示了 12 项实践在一些组织中的平均成熟度水平。第一幅图表展示了所有参与 BSIMM 评估公司的数据(我们称之为“AllFirms”)。第二幅图表展示了一个企业作为示例跟 BSIMM 所有公司对比的数据。

BSIMM11 蛛形图——所有公司

BSIMM 中保险、医疗健康和金融这三个行业接受严格的行业监管。根据我们的经验,大型金融服务公司于 20 世纪 90 年代到 21 世纪初,首先对监管变更作出反应,他们发起 SSI 的时间远远早于保险和医疗保健公司。尽管 BSIMM 中金融服务公司在过去五年中的数量翻了一番(它们大量加入 BSIMM 数据集新启动的计划),但金融服务业 SSG 的平均评估年限仍为 5.4 年,而保险业为 4.4 年,医疗健康业为 4.2 年。

在并列对比中明显发现,金融服务业投入了较多的时间,从而获得了较高的 SSI 的成熟度。虽然保险行业包括一些成熟度异常值,但这三个受监管的行业的数据显示,保险业在软件安全方面表现普遍落后。我们发现医疗健康业与之形成鲜明对比,几乎没有异常值。

BSIMM11 垂直蛛形图

参与这项研究的每个企业在软件安全上都做的很好吗?

通过统计每家公司的得分进行排名,我们也可以看看一家公司的相对成熟度和平均成熟度。大多数 BSIMM12 参与者的评分在 31 至 40 的范围内,SSG 平均年限为 4.1 年。

我们很高兴地发现参与 BSIMM 的企业持续逐年增长。参与 BSIMM 的企业从 2008 年的 9 家增加到 2021 年的 128 家,现拥有将近 3,000 名软件安全团队成员和 6,000 多名外围小组成员(“安全拥护者”)。

条形图

BSIMM 是一套标准吗?

BSIMM 不是 ISO 27001 或乒乓球官方规则那样的标准。相反,BSIMM 描述的是世界上多数成功的软件安全方案执行的一系列活动。从这个意义上讲,这是一套事实上的标准,因为这是各个组织的实际上的操作。可以说它是我们发现的,而不是发明的。

返回顶部


怎样使用 BSIMM?

如果您的企业还没有软件安全方案,那么您可能需要一个。您可以从使用 BSIMM 来开始:它可以帮助您确定您的软件安全团队需要多少人,这些人应该先做些什么,以及几年后他们可能要考虑什么事情。如果您已经有软件安全方案,那么您可以使用 BSIMM 来了解您的进展,并为将来制定计划。

返回顶部


BSIMM 的价格是多少?

BSIMM 是免费的:我们发布是基于知识共享许可证。因此它与任何其他模型一样都是“开放”的,您可以从其中汲取灵感将其用作自己的内部文档,也可以使用我们发布的数据制作自己的模型。如果您使用了这些内容,必须公开资料来源出处。也就是溯源到 BSIMM。如需帮助,请联系我们

返回顶部


如何定义软件安全团队? 我所在组织有这个团队吗?

所有 BSIMM 参与者均有专门负责软件安全的内部团队——软件安全团队 (SSG)。我们从来没有观察到任何组织在没有 SSG 的情况下成功开展了 BSIMM 的活动。我们注意到,在我们研究的 128 个组织中,SSG 与开发人员的平均比率为 2.59%。这表示当我们平均计算每个参评公司的比率时,每 39 位开发人员中就有一位 SSG 成员。对于有 500 人及以下开发人员的组织,观察到的最大比例为 51.4%,最小比例为 0.33%。对于拥有超过 500 人开发人员的组织,观察到的最大比例为 14.9%,最小比例为 0.08%。关于这些实体机构,要提醒的细节是,128 家公司平均 SSG 规模为 22.2 人(最少 1 人,最多 892 人,中位数为 7.0 人)。

返回顶部


既然 BSIMM 这么重要,为什么最近十几年才开始兴起?

对于许多软件制造商(包括 ISV、银行、医疗服务机构、政府及其他部门)来说,软件安全已成为 21 世纪最受关注的问题,但只是在近 10 年或更短时间才获得管理层的关注。“我们”才刚刚到达这一点,我们已经积累了足够的经验来比较说明并在宏观层面讨论有效的方法。我们谈论安全编程渗透测试等已经有一段时间了,但还需要更长的时间才能找到组织软件安全方案的最佳方法。BSIMM 将这些活动集结到一个观察模型中,免费开放供所有人使用。

返回顶部


我懂了,可是我老板还不懂。软件安全方案如何起步?

经过多年的 BSIMM,我们发现有必要阐述软件安全的合理性,就像当初 IT 安全成为主流之前需要阐述其合理性一样必要。曾经,有些高管根本不理解为什么需要防火墙,不理解入侵检测是如何防微杜渐的,也不理解只要教会人们去思考安全问题即可改变企业文化。早些时候,甚至是理智上理解了这些问题的经理,也觉得其组织成为受害者是一件距离遥远的事情。

在 BSIMM 数据集中,我们已经看到软件安全团队在以下显著的情况下获得特许和资金:

  • 执行管理层对进行中的事件做出了反应,并下达命令,他们将开发安全软件并为其提供资金支持(例如,比尔·盖茨在 2002 年发布的微软安全备忘录,其中将安全作为首要考虑因素)。
  • 一个负责某种的合规性的高管团队确定(很可能是在遭受惨痛的损失之后):软件安全是公司管理过程中的一项必要开支。
  • IT 安全团队证明某项违约不是他们的过错,而是公司应用程序的安全漏洞导致的。
  • 一位有影响力的软件安全企业家(例如,在 CIO、CTO、法律或管理团队中)负责启动该系统,然后充分利用前期获得的成就,为实际项目募集资金。
  • 一个开发小组在进入 DevOps 的过程中有组织地发展了各种“安全”角色(例如,云安全、构建安全、容器安全),并且一位高管将这些工作标准化为一项计划,从而将知识和流程推广到所有开发小组。

看来现在最困难的部分并不一定是说服高级管理层接受这一问题,而是让他们相信您是领导实施解决方案的合适人选,而且您确实已经有了一套方案。如果您是软件安全负责人(即使从某种意义上说,就是在重大软件安全故障后将被解雇的人),但您无法为一项安全计划获得资源来解决问题,那么请立即辞职。人生太短暂,无需做没有意义的事件,有许多雇主愿意真正运用和发挥您的才干。

返回顶部


最新的 BSIMM 研究突出了几个关键主题?

备受关注的勒索软件和软件供应链中断促使人们日益重视软件安全
BSIMM 数据显示,在过去两年中,参与组织的“识别开源”活动和“创建 SLA 样板”活动分别增加了 61% 和 57%。

企业正在学习如何将风险转化为数据
在过去 24 个月中,“在内部发布有关软件安全的数据”活动增加了 30%,这表明,组织在作出更大努力收集并发布软件安全方案数据。

增强云安全功能 
随着越来越多的高管关注(可能还因为工程部门的努力),组织开始发展其管理自身云安全和评估共享责任模型的能力。在过去两年中,在与云安全相关的活动中,平均有 36 个新的观察结果。

安全团队为 DevOps 实践提供资源、员工和知识
BSIMM 数据显示,软件安全团队的角色发生了转变,从负责制定软件安全行为相关规定转变为合作伙伴,为 DevOps 实践提供资源、员工和知识,目的是将安全工作纳入到软件交付的关键路径。

持续缺陷发现和改进
BSIMM12 数据表明,越来越多公司开始实施现代缺陷发现方法,倾向于持续监控和报告,而不再是着眼于单点时刻的缺陷发现方法。

这种新趋势下,这些数据被用来支持领导层的管理决策,“在内部发布有关软件安全的数据”这项 BSIMM 活动在过去两年中增加了 30%。虽然管理流程目前在很大程度上仍依靠人工操作,但越来越多公司开始转为使用“管理即代码”方法,我们发现,参与 BSIMM12 的公司中有 15% 已经在这样做。

QA 自动化中的安全测试增加了一倍以上
在过去两年中,“把黑盒安全工具整合到 QA 流程中”这项 BSIMM 活动的观察率提高了 50% 以上。同样,在过去两年中,“把安全性测试纳入到 QA 自动化中”活动的观察率也提高了一倍以上。

软件物料清单活动增加了 367%
BSIMM 数据显示,企业的软件资产盘点能力有所提高,包括创建软件物料清单 (BOM),了解软件的构建、配置和部署方式,企业用安全遥测进行重新部署的能力也有所提高。

这表明,许多企业已开始注重建立全面、最新的软件 BOM,与这些能力相关的 BSIMM 活动(“通过运维物料清单来增强应用程序库存盘点”)的观察结果在过去两年中从 3 个增加到 14 个,增加了 367%。

从“左移”发展到“无处不移”
“左移”着重于在开发过程的早期进行安全测试。“无处不移”延伸了这个概念,在整个软件生命周期持续进行安全测试,包括尽早进行更小规模、更快、管道驱动的安全测试,无论在设计阶段还是生产阶段。

从维护传统运营库存转向自动化资产发现和物料清单创建,这个转变过程包括添加“无处不移”活动,例如,使用容器加强安全控制,进行编排,以及扫描基础设施即代码。“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”和“监控自动化资产创建工作”等活动的 BSIMM 观察率的提高都证明了这一趋势。

返回顶部