定义新的安全基础：10种常见的防御举措

随着科技的不断进步，软件因其方便、快捷、实用性强等特点，在各个领域中得到了广泛的应用。然而，随之而来的安全问题也日益凸显，从软件缺陷到漏洞，再到大规模的数据泄露，特别是现在，越来越多的企业将一些关键业务转移到线上，软件安全一旦出现问题可能带来灾难性的后果或重大经济损失，因此，有效地评估软件的安全性十分必要。

现在，企业组织通常会从其软件开发生命周期中收集安全指标，实施基本安全措施，并将保护用户数据的义务定义为基本安全策略的一部分。

根据年度《构建安全成熟度模型》(BSIMM)报告显示，超过四分之三的受访组织定期采取10项常见安全措施来改善其整体防御态势，其中包括检测其安全开发生命周期(SDLC)以及使用自动化工具等等。

构建安全成熟度模型(BSIMM)是一种数据驱动的模型，采用一套面对面访谈技术开展 BSIMM评估，唯一目标就是观察和报告。它是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM软件安全框架(SSF)包含四个领域——治理、 情报、SSDL触点和部署。这四个领域又包括12个实践模块，而这12个实践模块中又包含122项BSIMM活动。

该报告就是基于对受访企业的12个实践模块进行评估，询问他们是否进行了122项不同的安全活动中的任何一种。结果显示，在参与调查的128家公司中，92%的公司从其软件开发生命周期收集数据以提高安全性，而91%的公司定期确认其基础主机和网络安全措施的状态——根据BSIMM调查生成的排名列表，这正是受访组织中最常见的两项安全举措。

BSIMM报告的作者之一Eli Erlikhman表示，这些数据表明，企业组织在完善其软件安全流程方面正取得重大进展。他解释称，“我们看到软件安全流程方面正在得到进一步改进，组织在某些领域变得更好，例如控制开源风险、供应商安全以及缺陷发现等。与此同时，我们也看到该行业仍有改进的空间，组织应该继续增强自身的能力。”

目前的评估结果发现，越来越多涉及勒索软件攻击和软件供应链攻击的公共事件(例如针对远程管理软件制造商Kaseya的攻击事件)使企业组织更加关注旨在预防或减轻事件的措施。在过去两年中，61%的受访组织正在积极寻求识别开源风险——今年是74 家，而两年前是 46家——而55家公司已经开始授权模板软件许可协议，比两年前增加了57%。

在过去的18个月中，企业组织经历了数字化转型计划的“大跨步”。考虑到这些变化的复杂性和速度，对于安全团队来说，拥有能够让他们了解自身立场并为下一步行动提供参考的工具，变得前所未有的重要。

BSIMM报告旨在让公司能够就如何随着时间的推移改进其软件安全工作做出数据驱动的决策。10 项最常见的举措——以及参与这些举措的组织比例如下所示：

• 实施生命周期检测并用于定义治理(92%);
• 确保主机和网络安全基础措施到位(91%);
• 确定PII义务(89%);
• 执行安全功能审查(88%);
• 使用外部渗透测试人员发现问题(87%);
• 创建或与事件响应交互(84%);
• 集成并提供安全功能(80%);
• 使用自动化工具(80%);
• 确保QA执行边缘/边界值条件测试(78%);
• 将合规性约束转化为需求(77%);

数据表明，总的来说，企业组织在软件安全方面正变得越来越成熟。两年前，BSIMM报告发现，只有70%的受访组织执行了前10项举措中最不常见的举措，而今年这一比例为77%。

BSIMM调查还显示，越来越多的企业组织专注于保护其软件供应链并确保其基础设施安全。 两个增长最快的活动是为容器和虚拟化环境应用编排，参与企业从两年前的5家增加到33 家，其次是确保云安全基础，现在是59家企业参与，而两年前仅有9家。

检查软件物料清单(SBOM)是另一个快速增长的软件安全领域，有14家企业采取了这项活动，而两年前只有3家公司。

报告还发现，其中许多活动都从“专注于将安全性进一步转移到开发”——所谓的“左移”(shift left)——转变为“专注于将安全活动添加到需要的地方”——所谓的“无处不移”(shift everywhere)。运营基础设施的自动化安全验证就是一个例子，其中安全性从左移到开发，右移到运营，更全面地转移到工程中。

本文翻译自：https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions

鸿蒙官方战略合作共建――HarmonyOS技术社区