BSIMM14 趋势与洞察报告 BSIMM跟踪并分类软 件安全计划中的行为, 这些行为被称为活动。 这些活动有助于将数据 分解为更小、更易于跟 踪的类别。本文多次引 用了这些活动。 何为软件安全构建成熟度模型(BSIMM)? BSIMM是运行了十多年的独特项目,旨在研究组织机构将安全融入软件开发流程中所采用的策略,并为组织机构制定此类策略提供信息。BSIMM的参与企业包括金融服务、金融科技(FinTech)、保险、物联网(IoT)、医疗健康、云计算和科技等垂直行业的组织机构以及独立软件供应商(ISV)。 根据与这些组织机构访谈所收集到的信息,BSIMM报告提供了一个模型和框架,用于测试、衡量和评估应用安全(AppSec)活动。基于参与企业的安全计划,BSIMM数据提供了关于AppSec状况的独特视角,并就安全专业人员应该考虑在其组织中开展怎样的关键活动以及采用哪些实践和工具提供了见解。 若加以充分利用,BSIMM可以作为路线图,指导安全专家根据组织机构的特定需求制定或改进成功的AppSec计划。安全专家可以确定自己的目标,然后分层分析BSIMM数据以确定哪些方面需要额外的努力和投资。 |synopsys.com|2 BSIMM趋势与数据报告包含哪些内容? BSIMM14趋势与洞察报告提炼了130家BSIMM参与企业的经验教训,这些组织机构共有近1.1万名安全专业人员,帮助大约27万名开发人员为9.6万个应用保证软件安全。如想进一步了解BSIMM项目,可登录http://www.bsimm.com/resources.html,参阅BSIMM14基础报告查看有关BSIMM背景和数据的详细信息。 这个完整的BSIMM基础报告在“趋势与洞察”部分详细介绍了通过分析全面的BSIMM数据而观察到的主要趋势。在本文中,我们提取了这些主要的观察结果,并对这些趋势进行了重点介绍,希望能够对您的软件安全策略产生积极影响。 12% 15% BSIMM14参 与企域业划,分按区 73% 5% 19% 5% 7% BSIMM14参 8% 18% 与企业,按垂 直行业划分 10% 15% 14% 欧洲、中东和非洲 亚太北美 医疗健康金融科技保险其他 500,000 400,000 IoT云计算ISV科技金融 开应发用者 300,000 200,000 100,000 0 10,000 8,000 6,000 4,000 2,000 0 BSIMM7BSIMM8BSIMM9BSIMM10BSIMM11BSIMM12BSIMM13BSIMM14 S安S全G成拥员护者 BSIMM7BSIMM8BSIMM9BSIMM10BSIMM11BSIMM12BSIMM13BSIMM14 |synopsys.com|3 在过去的一年里,人工智能(AI)和大型语言模型的爆炸式增长给软件开发带来了巨大影响。从应用和硬件的设计和创建到安全测试,AI几乎贯穿整个软件开发生命周期。 与此同时,我们也看到了来自全球各国政府的持续压力,要求企业制定软件安全计划,对集成到产品中的软件负责并提供保护,并持续应对软件供应链风险。 为了满足这一需求,提供DevSecOps平台、云解决方案和安全工具的企业已经开始应对来自市场和攻击者的挑战,让开发者更容易实现安全工具和流程的自动化。 所有这些都发生在经济条件不佳的背景下。面对日益缩水的软件安全预算,企业需要减少由昂贵的主题专家(SME)驱动的活动,同时满足安全标准,这给企业带来了巨大挑战。作为缓解策略之一,许多企业都在提升自动化水平,将自动化范围扩展到缺陷发现之外,以最大限度降低供应链带来的风险,采取全面的方法来保护其应用和产品,并利用自动化技术在快速变化的条件下保证软件安全。他们还越来越多地将AI纳入到生态系统中,这可以提高生产力,但也会带来风险。AI容易产生幻觉并写出有缺陷的代码,开源代码的大量使用不仅可能继承漏洞,还可能导致许可问题。我们将继续关注这些趋势和其他发展趋势,并在未来的BSIMM报告中及时报告它们带来的新影响。 |synopsys.com|4 趋软势件供应链风险管理仍是重中之重 去年,我们注意到14028号行政命令以及供应链攻击的激增,使得软件供应链风险管理(SSCRM,也称为软件供应链安全(SSCS)和网络 供应链风险管理(C-SCRM))成为了所有软件安全人员的重中之重。在BSIMM13中,我们添加了一个新的活动“保护开发工具链的完整 性,”,以开始观察企业如何保护其开发管道中涉及的内容。自开始跟踪以来,我们看到越来越多的企业扩展了安全计划,以充分应对供应 链风险,例如对其从供应商处购买或从开源项目中引入的软件进行风险分析。 软件物料清单(SBOM) +22% 我们看到,企业通过使用软件物料清单(SBOM)来加强供应链安全工作,在SBOM的帮助下了解供应链中的应用组件。SBOM中包括企业使用或集成到现有应用中的软件的库和依赖项。我们发现,与BSIMM13相比,在BSIMM14中,“为已部署的软件创建物料清单”这一活动增长了22%。 长了22% 虽然SBOM一直被视为应对开源库中重大漏洞的工具,但许多企业已经开始将其用途从反应式安全工具扩展到主动式安全工具。 SBOM 新思科技使企业能够生成满足行业、监管和客户要求的SBOM。用户可以集成供应商的SBOM,全面了解整个应用和软件开发生命周期的供应链组件和风险。 开源风险管理 在项目中使用开源软件并不是什么新鲜事⸺早在几十年前,企业便已开始将这些项目集成到软件中了。然而,他们迄今为止仍然无法对这些软件进行充分的安全保护。管理应用中的所有代码对于供应链安全至关重要,无论是开源、专有还是商用代码。 今年,我们注意到开源软件(OSS)风险管理活动增长了10%,特别是“识别开源风险”和“控制开源风险”。这两项活动对于安全地发挥OSS的诸多优势至关重要,在供应链安全中发挥着重要作用。 OSS 10% 现代应用不仅是构建的,而且还是组装的。新思科技软件组成分析(SCA)解决方案能够自动跟踪和管理企业应用中使用的组件。SCA将快速、直接和可传递的依赖项分析与源代码和二进制代码扫描结合起来,以识别任何软件中的依赖项,甚至是AI生成的代码。 “物为料已清部单署”这的一软活件动创增建 +10% “O活SS动风增险长管了理”这一 |synopsys.com|5 |synopsys.com|6 “趋无势处不移”持续演进 “无处不移”(Shifteverywhere)是一个软件生命周期(SLC)治理的理念,就是要认识到,要想让软件始终达到可接受的安全水平,需要各方面共同承担责任,包括法律、审计、风险、治理、IT、云、技术、供应商管理以及安全韧性等领域的相关人员。参与软件项目的每一个人都有自己的工作需要完成,但他们也需要进行安全签核,因此需要SLC工具链提供容易理解的可用信息。 过去20年间,企业将一些安全工作转移到了工程工具链和流程中,使开发者能够使用最佳工具实现DevSecOps转型,也将无处不移的测试方法应用到了自动化和成熟的工具中。开发者对现代平台的采用使得安全团队能够自动执行其工作流,导致缺陷发现从人工流程转变为更简单的自动流程。随着平台的成熟,企业不仅开始检查管道内外部的治理合规性,而且还开始自动执行安全决策(例如,编码合规的安全签核)。 今天,那些已将无处不移的方法应用到软件开发管道的企业纷纷开始更新策略和战略,把安全触点(securitytouchpoints)以代码的形式集成到整个软件开发生命周期中。在近期的报告2023年应用安全现状(TheStateofApplicationSecurity,2023)中,Forrester也同意这一观点,并强调这一趋势将持续发展,指出“无处不移的方法正在变成主流”。” 持续测试 安威胁模求型 ·风险分析 ·运持红行续评估 规划 ·I静DE态集分成析 部署 ·预提交 编码 风险管理 智SA能ST编和排SCA · 构建 ·修接受复/排序运渗透测试 ·恶意代码检测 ·安打全包配部置署 ·监控分类 人工代码审查 测试 ·IDAASSTT/SAST ·模糊测试 随业务的发展进行持续测试是实现无处不移的关键。随着“左移”变成了“无处不移”,组织机构需要借助适当的工具,贯穿整个管道在多点进行持续测试,以提高测试的覆盖率和效率。此外,他们还需要根据具体情况扩展和缩减测试范围,并且自动执行和编排安全举措,这一点也至关重要。 |synopsys.com|7 趋通势过自动化来实现软件开发流程的现代化,缓解预算压力 BSIMM14中提到的2023年的另一个趋势是,组织机构加大力度实现开发工具链现代化,而自动化正是这项活动的首要主题。 随着安全预算的减少,企业减少了依赖安全团队人工执行任务的活动,通过专注自动化来实现投资回报的最大化。自动决策和治理使这些企业能够实时管理风险。 现代工具链可以实现QA阶段的安全测试自动化,这对于提高开发和安全工作的效率非常重要。今年,我们看到“将不透明盒安全工具集成到QA流程中”以及“将安全测试纳入到QA自动化中”两项活动增长了10%。通过拥抱无处不移的理念,安全团队发现其软件开发管道已经能够根据新引入的自动测试的结果来执行脚本化操作。 在过去一年中,这些自动化管道带来的决策效果令人印象深刻,“集成软件定义的生命周期治理”活动增长了60%。企业还利用自动化更有效地从管道中的传感器收集情报,并基于这些数据更轻松地决策。有些企业在软件开发生命周期中利用从传感器收集到的洞察来主动预防漏洞,以免给开发者带来麻烦,“软件生命周期数据对策略的驱动反馈”这一活动在去年增长了36%。 总之,我们看到企业加大了利用自动化解决方案对现有工具链进行现代化升级改造的力度,以利用这些解决方案带来的洞察来提高开发人员的活跃度和生产力,并最大限度地缓解安全预算紧缩带来的压力。 安全触点(SecurityTouchpoints) 考虑到安全触点带来的多种机会,构建安全的软件不仅仅需要找出缺陷和打断构建过程。自动化使企业能够在本地流程中实施“无处不移”的理念,即在合适的时间进行合适的测试,我们可以在“实施事件驱动的安全测试”这一自动化活动中看到“无处不移”的理念,这项活动在过去两年中增长了三倍。企业还通过开展“培养合并AST结果的能力”(该活动的数量几乎翻了一番)以及“使用安全编码标准”(该活动的数量经过一段时间的下降后再次实现增长)等活动而变得更聪明。利用自动化实现安全触点的随处转移,代表了“无处不移”理念的下一个阶段。 自动化风险管理 应用安全态势管理(ASPM)解决方案使安全和开发团队能够管理整个企业的应用安全计划。高质量的ASPM工具可以统一安全策略,自动编排测试活动,关联数据,并对安全漏洞进行优先级排序。它还提供一些内置的静态应用安全测试(SAST)和SCA能力。达到这个级别的自动化能力后,开发和安全团队就可以根据事件的紧迫程度来采取行动,并消除重复或不必要的安全工作。 云/SaaSAppSec测试解决方案已经针对开发和DevSecOps团队的需求进行了优化处理。通过在统一平台上结合各种安全分析引擎,安全和开发团队可以根据应用、项目、计划或软件开发生命周期事件的不同,在不同的时间开展不同的测试。 趋安势全拥护者和云架构成为软件安全的主要成功因素 随着组织机构开始追求软件安全计划的现代化,一些非开发活动也将对整体应用安全态势产生积极影响。从历史上看,BSIMM发 现,拥有安全拥护者(或外围小组)计划的企业能够整合更多BSIMM活动,从而提升安全计划的效果和成功率。 现在,这一趋势中又出现了第二个安全促进因素,即“云架构的采用”。企业已经开始转移到云环境,以实现成本节约和动态容量调 整,并利用现代功能,无需进行昂贵的数据中心升级。安全团队也因企业转移到云端而获得了好处。 云