保護開源組件并將安全性集成到開發(fā)人員工具鏈中的活動激增了近 50%

無規(guī)劃，不安全。通常軟件安全計劃比較成功的企業(yè)都設有專門的軟件安全小組。該小組一開始可能只是一人團隊（整個團隊只有軟件安全主管一個人），后來隨著時間的推移而不斷發(fā)展壯大。了解重要的應用安全趨勢可以幫助軟件安全小組做好戰(zhàn)略性的改進規(guī)劃。

新思科技(Synopsys, Nasdaq: SNPS)發(fā)布其最新版本的軟件安全構建成熟度模型(BSIMM)的第13版——BSIMM13。該報告分析了Adobe、PayPal 和聯(lián)想在內(nèi)的130家企業(yè)的軟件安全實踐。

BSIMM13涵蓋了410,000多名開發(fā)人員為軟件安全做出長期努力的成果，他們構建和維護了超過145,000個應用程序。

報告強調(diào)了越來越多的 BSIMM 成員企業(yè)正在實施安全“無處不移”的策略，以在整個軟件開發(fā)生命周期 (SDLC) 中執(zhí)行自動、持續(xù)的安全測試，并管理其完整應用組合的風險。

新思科技軟件質量與安全部門總經(jīng)理Jason Schmitt表示：“BSIMM13的調(diào)研發(fā)現(xiàn)，隨著軟件供應鏈的關注度提升，大多數(shù)企業(yè)都在采用基于風險預防的措施以確保應用安全。他們意識到安全不局限于代碼庫。安全涵蓋軟件開發(fā)過程、安全審查和測試‘無處不移’，以持續(xù)提升安全性。報告還表明，BSIMM成員企業(yè)的軟件安全計劃正趨向成熟。他們現(xiàn)在正在尋找解決方案，以推動其計劃的可擴展性、效率和整體有效性?！?/span>

BSIMM13 由新思科技軟件質量與安全部門進行匯總分析，重點介紹了過去 12 個月內(nèi)成員企業(yè)的軟件安全計劃的演變趨勢，包括：

?管理軟件供應鏈風險及SBOM（軟件物料清單）興起?？赡苡捎诮诒容^頻繁的供應鏈攻擊事件影響，管理軟件供應鏈風險（最常見的是通過識別和保護開源軟件來執(zhí)行）成為BSIMM成員企業(yè)的首要任務。BSIMM13 報告顯示，在過去 12 個月中，與控制開源風險相關的活動增加了 51%，通過構建和維護SBOM以對其部署的軟件中的組件進行全面分類的企業(yè)增加了 30% 。

?將安全集成到開發(fā)人員工具鏈中。在過去 12 個月中，BSIMM成員企業(yè)在將安全集成到CI/CD管道和開發(fā)人員工具鏈方面取得了重要的進展，這是實施安全“無處不移”的策略的一部分。BSIMM13 數(shù)據(jù)指出，使企業(yè)能夠將安全測試納入QA（質量保證） 自動化的活動增加了 48%。

?將軟件安全擴展到產(chǎn)品和應用之外。BSIMM13 數(shù)據(jù)還顯示安全團隊正在與運營合作開展更多的活動，以保護不是應用程序的軟件（例如為 CI/CD 創(chuàng)建的自動化）。過去 12 個月，利用運營數(shù)據(jù)進行持續(xù)改進的活動增長了 95%。

?通過自動化和持續(xù)測試實現(xiàn)安全“無處不移”。BSIMM13 數(shù)據(jù)報告稱，82% 的 BSIMM 成員企業(yè)現(xiàn)在使用自動代碼審查工具（在 BSIMM13 中排名前 10 最受關注的活動）。這增強了他們執(zhí)行更快、增量安全測試和識別漏洞的能力，因為這些工具貫穿在SDLC中。

新思科技自2008年起發(fā)布BSIMM報告。該報告是一種成熟度模型，觀察和量化軟件安全人員執(zhí)行的活動，以幫助更廣泛的安全社區(qū)成員規(guī)劃、執(zhí)行和衡量自身的舉措。BSIMM 數(shù)據(jù)來源于在評估期間與成員企業(yè)進行的深度訪談。在評估之后，觀察數(shù)據(jù)被匿名化并添加到 BSIMM 數(shù)據(jù)池中，且在其中執(zhí)行統(tǒng)計分析，以突出 BSIMM 成員企業(yè)如何保護其軟件的趨勢。

除了發(fā)布其年度報告外，BSIMM 還為成員企業(yè)搭建社區(qū)平臺，通過社區(qū)討論、博客、電子學習課程、網(wǎng)絡研討會和分享軟件安全的獨家內(nèi)容等，與同行互動、學習最佳實踐并獲得對不斷變化的商業(yè)環(huán)境的新見解。

聯(lián)想基礎設施解決方案事業(yè)部產(chǎn)品安全部執(zhí)行董事Bill Jaeger表示：“在 2015 年加入 BSIMM 社區(qū)后，我們發(fā)現(xiàn)每年更新的報告洞察可以幫助聯(lián)想規(guī)劃和衡量安全計劃。這對我們了解客戶最重要的實踐領域也具有重要價值。此外，BSIMM 社區(qū)本身就是一個極好的資源，成員們慷慨地分享經(jīng)驗。他山之石，可以攻玉。我們都踏上了相似的安全之旅，剛起步的企業(yè)可以借鑒已經(jīng)有成果的企業(yè)的軟件安全計劃實踐?！?/span>