新思科技:软件安全之旅需要借助“他山之石”

发布时间:2023-01-12  

随着全球数字化转型的不断深入,软件安全也迎来了高速发展期。只有建立可信、健全的软件安全保障体系,才能筑牢数字经济的网络安全屏障。

中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,强调,数字赋能,安全先行。把安全贯穿在数字经济发展的全过程,才能行稳致远。软件安全不会一蹴而就,而是一个旅程,需要借鉴“他山之石”,取长补短。

当然,他人的经验并非都有普适性。虽然出发点是好的,但是如果采纳了不适合自身的软件安全建议,或者盲目跟随某家企业的软件安全计划,可能会导致损失。一旦不法分子发现其中的缺陷和漏洞,就可以窃取知识产权、员工和客户的个人信息、清空公司银行账户、破坏建筑的安保,甚至通过勒索软件来破坏企业运营。

在如今数字化转型的大环境中,每个企业在本质上都是一家软件公司。因此软件风险很大程度上等同于业务风险。在竞争激烈且充满不确定性的市场环境中,企业应该对软件安全建议谨慎求证,才能确定是否应该采取后续行动。

如果从一两家公司的软件安全计划中找不到合适的参照,那100多家呢?基于大量的真实数据,描述哪些方案是有效的,哪些是失败的,更重要的是行业在发生什么变化,已经采取了哪些安全举措以更高效地响应这些变化,进而构建可信软件。

这也是自2008年开始,全球有数百家企业参加软件安全构建成熟度模型(BSIMM)评估的原因。这其中也不乏中国企业,比如OPPO、联想和浪潮参加了最新的BSIMM13评估。

BSIMM是免费及开放的标准,广泛适用于各行业。BSIMM 软件安全框架(SSF)包含四个领域 — 治理、 情报、 SSDL 触点和部署,涵盖250项软件安全计划,观察企业如何将安全性构建到软件开发中,以应对不断变化的数字威胁环境。通过这种数据驱动的视角,BSIMM可全面评估企业软件安全小组的成熟度,并创建用于衡量其计划成熟度的软件安全计分卡。

除了评估和计分卡,BSIMM还为多样化的成员社区搭建交流桥梁,大家可以互动、学习行业最佳实践、获得对不断变化的商业环境的新见解,并参加线下活动,以促进更紧密的联系和合作。

无论您是正在制定软件安全计划,还是已经开始维护成熟的计划,根据BSIMM13数据,都应该考虑实施以下措施:

· 自动化软件安全工具到位。无论是用于静态或动态测试还是软件组成分析,这些工具都可以识别并帮助修复关键软件中的缺陷、漏洞和恶意代码,无论是内部开发的软件、商业第三方软件还是开源软件。

· 基于数据驱动安全决策。使用安全测试工具收集数据、合并数据,然后使用这些数据制定和实施软件安全策略。收集有关执行了哪些测试以及发现了哪些问题的数据,以推动同时改进软件开发生命周期(SDLC)和治理流程。

· 向自动化安全测试和决策转变。从人力资源密集的人工方式转变为更一致、更高效、可重复性更强的自动化方法。

· 在SDLC中向规模更小的自动检测转变。在检查软件时,尽一切可能通过规模更小、速度更快、管道驱动的测试替代渗透测试或人工代码审查等手动活动。

· 尽早创建全面的软件物料清单(SBOM)。SBOM中应包括企业的资产清单以及开源和第三方代码清单。

BSIMM13观察到的其中一个趋势是软件供应链风险管理兴起。就在几年前,这还是安全社区的边缘话题。现在,可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13 报告显示,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。

在BSIMM13中,最引人注目的数字或许是0。数据表明,在130家参与评估的企业中,没有一家的软件安全小组具有完全相同的架构。没有一个所谓“最好”的途径可以构建出成熟的软件安全应用。但我们有着共同的目标:构建可信的软件。

BSIMM并不规定企业需要采取何种路径。而是帮助企业能够根据其自身的风险概况和优先级制定合适的计划,以提升软件安全成熟度。

文章来源于:21IC    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>