随着科学技术的不断进步,软件因其方便、快捷、实用性强而在各个领域得到了广泛的应用。然而,随后的安全问题也越来越突出,从软件缺陷到漏洞,再到大规模数据泄露,特别是现在,越来越多的企业将一些关键业务转移到在线,一旦软件安全问题可能带来灾难性后果或重大经济损失,因此,有效评估软件安全是非常必要的。
目前,企业组织通常从其软件开发生命周期中收集安全指标,实施基本安全措施,并将保护用户数据的义务定义为基本安全策略的一部分。
根据年度《构建安全成熟模型》(BSIMM)报告显示,四分之三以上的受访者定期采取10项常见的安全措施来改善其整体防御状况,包括检测其安全开发的生命周期(SDLC)使用自动化工具等。
构建安全成熟度模型(BSIMM)是一种数据驱动模型,采用一套面对面访谈技术进行 BSIMM评估的唯一目标是观察和报告。它是衡量企业在软件开发阶段建立软件安全能力的标尺。BSIMM软件安全框架(SSF)包括四个领域——治理, 情报,SSDL接触和部署。这四个领域包括12个实践模块,12个实践模块包括122个BSIMM活动。
该报告是基于评估受访企业的12个实践模块,询问他们是否进行了122项不同的安全活动。结果表明,92%的公司从参与调查的128家公司的软件开发生命周期中收集数据,以提高安全性,91%的公司定期确认其基本主机和网络安全措施的状态——根据BSIMM这是受访组织中最常见的两项安全措施。
BSIMM报告的作者之一Eli Erlikhman这些数据表明,企业组织在改进其软件安全全流程。他解释说,“我们可以看到,软件安全过程正在进一步改进,组织在控制开源风险、供应商安全和缺陷发现等某些领域变得更好。与此同时,我们也看到,该行业仍有改进的空间,该组织应该继续提高其能力。”
目前的评估结果发现,越来越多的公共事件涉及到勒索软件攻击和软件供应链攻击(如远程管理软件制造商)Kaseya攻击)使企业组织更加注重预防或减少事件的措施。在过去的两年里,61%的受访者积极寻求识别开源风险——今年是74 家,两年前是46家——与两年前相比,55家公司权模板软件许可协议,比两年前增加了57%。
在过去的18个月里,企业组织经历了数字化转型计划“大跨步”。考虑到这些变化的复杂性和速度,安全团队拥有前所未有的工具,让他们了解自己的立场,为下一步行动提供参考。
BSIMM该报告旨在决定如何随着时间的推移改进其软件安全。最常见的10项措施——参与这些措施的组织比例如下:
- 实施生命周期检测,定义治理(92%);
- 确保主机和网络安全基本措施到位(91%);
- 确定PII义务(89%);
- 安全功能审查(88%);
- 使用外部渗透测试人员发现问题(87%);
- 创建或与事件响应(84%)互动;
- 集成并提供安全功能(80%);
- 使用自动化工具(80%);
- 确保QA边缘/边界值条件测试(78%);
- 将合规约束转化为需求(77%);
数据显示,总的来说,企业组织在软件安全方面越来越成熟。两年前,BSIMM报告发现,只有70%的受访者组织实施了前10项措施中最不常见的措施,而今年的比例是77%。
BSIMM调查还显示,越来越多的企业组织专注于保护其软件供应链,并确保其基础设施的安全。 增长最快的两项活动是为容器和虚拟环境应用程序安排。参与企业从两年前的5家增加到33家,其次是确保云安全的基础。现在有59家企业参与,两年前只有9家。
检查软件材料清单(SBOM)在另一个快速增长的软件安全领域,有14家企业采取了这项活动,这项活动。
报告还发现,许多活动都来自“重点是进一步将安全转移到开发中”——所谓的“左移”(shift left)——转变为“专注于在需要的地方添加安全活动”——所谓的“无处不移”(shift everywhere)。运营基础设施的自动化安全验证就是一个例子,其中安全性从左移到开发,右移到运营,更全面地转移到工程中。
本文翻译自:https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions