BSIMM14 报告: 对主要软件全目的分析

2023年报告 TABLEOFCONTENTS PART1:EXECUTIVESUMMARY4 欢迎来到BSIMM145 BSIMM14数据亮点6 趋势和见解摘要7 软件安全性如何变化7 扩展安全范围7 谁拥有安全8 软件安全中的重要决策8 呼吁采取行动9 计划你的旅程9 掌握你所拥有的东西9 做出正确的投资9 BSIMM骨架10 PART2:TRENDSANDINSIGHTS12 到处转移的演变13 集成工具13 治理与自动化13 安全接触点13 启用人员14 软件供应链风险管理14 软件材料清单(SBOM)14 开源风险管理14 供应商管理和定制软件14 产品安全性和应用程序安全性14 将产品运送到危险环境14 不断增长的“产品安全计划”代表15 安全保证15 安全冠军15 云架构15 安全经济学15 我们正在观看的主题15 PART3:BSIMMPARTICIPANTS16 参与者17 第4部分:快速指南至SSI到期日19 SSI领导者的基线20 你的SSI是否保持着变化的步伐 在您的软件组合中？20 您是否正在创建所需的DevSecOps文化？20 您是否正在将安全工作转移到任何地方 在工程生命周期?20 您的SSI如何衡量？20 使用BSIMM记分卡取得进展20 了解您的组织Mandate21 构建记分卡21 制定战略计划并执行21 PART5:THEBSIMMFRAMEWORK24 核心知识25 了解模型26 PART6:THEBSIMMACTIVITIES27 BSIMM的活动28 治理28 治理：战略和指标(SM)28 治理：合规与政策(CP)30 治理：培训(T)32 智力34 情报：攻击模型(AM)34 智能：安全功能&设计(SFD)36 智能：标准和要求(SR)37 SDLC接触点39 SDLCTouchpoints:体系结构分析(AA)39 SDLCTouchpoints:CodeReview(CR)40SDLC接触点：安全测试(ST)42 部署44 部署:渗透测试(PT)44 部署:软件环境(SE)45 部署:配置管理和 漏洞管理(CMVM)46 附录49 A. B. 对于紧急SSI：SDLC到SSDL57 对于成熟的SSI：协调目标60 展开“安全控制”60 对于允许的SSI：数据驱动的改进62 推动敏捷友好型SSIs63 C.......................................................................................... 从BSIMM13创建BSIMM1464 模型随时间的变化68 D. 基于年龄的计划变更71 活动随时间的变化73 E. 垂直记分卡78 F. 第一次和第二次评估之间的变化84 G. H. PART1:执行摘要 4 执行摘要 2008年，应用程序安全、研究和分析专家着手收集组织为应对软件安全挑战而采取的不同途径的数据。他们的目标是 与那些在软件安全计划(SSIs)方面非常有效的组织进行面对面的访谈，收集他们努力的细节，分析数据，并发布他们的发现以帮助他人。 结果是建筑物成熟度模型（BSIMM），这是一个描述性模型-发布为BSIMM1-提供了观察到的活动的基线（i。Procedres.，控件)，用于将安全性构建到软件和软件开发中。由于这些计划通常使用不同的方法和不同的术语，因此BSIMM还创建了每个人都可以使用的通用词汇。此外，BSIMM提供了一种通用方法，用于启动和改进任何规模和任何垂直市场的SSI。 自2009年BSIMM1以来，我们一直是关于人员、流程、技术、文化、合规性、数字化转型等安全计划变更的早期记者。欢迎收看BSIMM14报告，感谢您的阅读。 欢迎来到BSIMM14 如果您负责SSI，了解BSIMM及其参与者的使用将有助于您计划战略改进 。如果您正在运行计划的技术方面，则可以使用操作指南（在第4部分中 ） 和活动描述（在第6部分中），以帮助定义对人员，流程，技术和文化的战术改进。 每个BSIMM年度报告都是研究现实世界的SSI的结果，许多组织将其称为其应用程序或产品安全计划或其DevSecOps工作。每年，不同行业垂直领域的各种公司都会使用BSIMM为其程序创建软件安全记分卡，然后使用该记分卡来告知其SSI改进。在这里，我们展示了BSIMM14，它是直接基于我们在130家公司中观察到的数据构建的。 在瞬息万变的软件安全领域，了解其他组织在其SSI中所做的工作非常重要。将100 多家公司的努力与您自己的公司进行比较，将直接为您的改进和增长策略提供信息 。 BSIMM核心知识是我们在参与者中直接观察到的活动-使用BSIMM作为其SSI管理一部分的公司集团。每个参与者都有自己独特的SSI，重点是在对其业务目标重要的活动中建立安全性，但他们共同使用此处捕获的活动。我们将核心知识组织到软件中 安全框架(SSF)，如第5部分所示。SSF包括四个域-治理、智能、SSDL接触点和部署-这些域目前由126个活动组成。例如，治理域包括属于SSI的组织、管理和测量工作的活动。 从高管的角度来看，您可以将BSIMM活动视为预防性、侦查性、纠正性或补偿性控制 在软件安全风险管理框架中实施。将活动定位为控件，可以通过治理，风险，合规性，法律，审计和其他执行管理小组更轻松地了解BSIMM的价值。 与任何研究工作一样，BSIMM中有一些术语具有特定含义。下面的方框显示了最常见的 BSIMM术语 命名法一直是计算机安全中的一个问题，软件安全也不例外。BSIMM中使用的几个术语对我们有特殊的意义。以下列表突出了本文档中使用的一些最重要的术语: •活动。作为实践的一部分，由SSG执行或促进的行动或努力。根据观察率，BSIMM中的活动分为三个级别。 •能力。一组BSIMM活动，跨越一个或多个实践，共同服务于内聚的安全功能。 •冠军。一群对软件安全有积极兴趣并为组织及其软件的安全状况做出贡献的有兴趣和参与的开发人员，云安全工程师，部署工程师，架构师，软件经 理，测试人员或类似角色的人员。 • • • • 数据池。从当前参与者收集评估数据。 域。框架分为四个类别之一，即治理，智能，SSDL接触点和部署。 参与者。当前数据池中的一组公司。 实践。BSIMM活动的分组。SSF分为12个实践，四个领域中的每个领域中的三个。 •卫星。由SSG组织和利用的一组个人，通常称为安全冠军。 •安全SDL(SSDL)。具有集成软件安全检查点和活动的任何软件生命周期 。 •软件安全框架(SSF)。BSIMM的基本结构，包括12个实践，分为四个领域。 •软件安全组(SSG)。负责执行和促进软件安全性的内部组。该组的名称也可能具有适当的组织重点，例如应用程序安全组或产品安全组。 •软件安全计划(SSI)。组织范围内的计划，以协调的方式灌输，测量 ，管理和发展软件安全活动。在某些组织中也称为应用程序安全计划， 产品安全计划或DevSecOps计划。 BSIMM术语。 BSIMM14数据亮点 使用本节中的信息来回答有关BSIMM数据的常见问题，例如“一些数据池统计数据是什么？”，“大多数公司都在做哪些活动？”和“软件安全工作如何随着时间的推移而变化？” 注：斜体绿色项目是指第6部分中的特定BSIMM活动。 活动是BSIMM的构建块，BSIMM是跨组织实现的最小粒度单位，用于构建SSI。BSIMM的目的不是指定一组规定性活动，而是描述性地观察和量化许多组织中各种SSI执行的实际活动。 BSIMM是一个观察模型，它反映了当前的软件安全工作，因此我们每年对其进行调整以使其保持最新。对于BSIMM14，我们根据我们在BSIMM数据池中看到的内容对模型进行了以下更改： •我们通过开放的协作渠道转移了提供专业知识的活动，拥有一个研究小组，开发新的攻击方法，监控自动资产创建，识别开源，并通过修复过程跟踪操作中发现的软件缺陷，因为我们现在更频繁地看到它们。 •我们移动了活动，创建了特定于技术的攻击模式，并维护和使用了前N个可能的攻击列表，因为它们的增长速度不如其实践领域的其他常见活动快。 •我们添加了保护开发工具链完整性的活动因为我们开始看到更多。 BSIMM项目在软件安全行业中独树一帜，已从2008年的9家参与公司发展到2023年 的130家，目前拥有约3,600名软件安全组织（SSG）成员和7,500名安全冠军。参与者SSI的平均年龄为5.2岁。即使参与者随着时间的推移进入和离开，BSIMM项目也显示出持续的增长-我们为BSIMM14增加了23家公司，并放弃了23家数据尚未刷新的公司。 这份2023年版的BSIMM报告-BSIMM14-审查了来自130个垂直行业组织的软件安全活动的匿名数据，包括云，金融服务，金融技术（FinTech），医疗保健，独立软件供应商（ISV），保险，物联网（IoT）和技术组织。 《高效能人士的7个习惯》探讨了成功的个人在实现目标时具有共同的品质，并且这些品质可以被他人识别和应用的理论。相同的前提可以应用于SSI。表1中列出了BSIMM14数据池中观察到的10个活动。数据表明，如果您的组织正在开展自己的SSI工作，您应该考虑实施这些活动。 表2显示了在过去12个月中经历了异常高增长的一些活动。毫不奇怪，其中一些活动，例如使所有项目都必须进行代码审查并确定开源，在趋势和见解部分中都提到了 。此外，BSIMM12中引入的精简负责任的漏洞披露活动增加最大。 在观察计数中。请注意，对于表2中的某些活动，观察值的增长是相对较新的变化。例如，该活动有一个研究小组开发新的攻击方法，从BSIMM9-BSIMM12几乎没有增长 ，但在BSIMM13的观察率显着上升，而BSIMM14继续攀升。两年的增长表明变化是有意义的，这些活动值得为您的计划考虑。 在BSIMM13中，我们报告了随着时间的推移在实施安全检查站和跟踪异常活动方面几乎没有变化的新增长。随着公司能够利用开发管道中的现代自动化选项，BSIMM14中的这一活动继续增长。 Intheotherdirection,inBSIMM13,wereportedthatthehaveSSGleaddesignrevieweffortsactivityseecontinuedgrowthforyearsbutthendecreasedsignificantlyforBSIMM13.InBSIMM14,this 下降已经纠正，今年观测值略有增长。 BSIMM14十大活动 百分比 描述 90.8% 实施安全检查点和相关的治理。 90.0% 创建事件响应或与事件响应接口。 87.7% 确定隐私义务。 87.7% 使用外部渗透测试人员发现问题。 86.9% 确保主机和网络安全基础知识到位。 86.2% 使用自动代码审查工具。 84.6% 在质量保证期间执行边缘/边界值条件测试。 83.1% 执行安全功能审查。 79.2% 统一监管压力。 79.2% 创建安全门户。 TABLE1.通过观察百分比的最高活动。最 在BSIMM14中经常观察到的活动可能对所有SSI都很重要。 BSIMM14按计数增长的前10名活动 Increase 描述 15 简化传入的负责任的漏洞披露。 13 实施云安全控制。 12 所有项目都必须进行代码审查。 11 有一个研究小组，开发新的攻击方法。 11 定义安全部署参数和配置。 11 使用应用程序容器来支持安全目标。 10 安排应用覆盖率的定期渗透测试。 9 确定开源。 8 记录软件合规性故事。 8 实施安全检查点并跟踪异常。 TABLE2.以观测计数的最近增长为最高活动。 在过去的12个月中，这些活动在BSIMM14中增长最大，这意味着它们现在或即将对您的计划很重要。 这些BSIMM趋势和见解是130个组织的软件安全经验教训的