（赵法彬/数字通信世界）如今，软件已经成为人们日常生活与工作中不可或缺的工具，然而由于软件漏洞带来的安全问题也让大家的隐私或财产面临巨大威胁。如何让软件更加完美、更加安全地提供服务，不仅是广大用户关注的话题，也是诸多安全厂商多年来不断追求的目标。其实，软件安全是需要从多个方面着手的，其中，整个软件生产过程是不是安全非常重要，而新思科技软件安全构建成熟度模型（BSIMM）就是为此而生的。日前，该模型的最新版本BSIMM12正式发布，新思科技软件质量与安全部门高级安全架构师杨国梁针对有关话题与业内媒体进行了交流。

评估软件安全方案十余年

杨国梁告诉记者，新思科技从2008年开始发布BSIMM报告，当时访谈了谷歌、微软等9家比较有代表性的、安全做得比较好的大公司，然后以他们为蓝本，构建了这样一个软件安全构建成熟度模型（BSIMM）。自2008年起，新思科技每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈，收集不同企业的实际软件安全实践的定量数据，并分析汇总成为报告，即软件安全构建成熟度模型（BSIMM）。BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划（SSI）。在过去的十几年中，新思科技不断丰富这个模型，给其他想要参与评估者或者想要开展安全开发活动的企业提供借鉴意义。

新思科技为什么要在2008年开始发布BSIMM报告呢？杨国梁进行了详细的回答：一是建立一种从整体上创建安全软件计划的方法。这个模型从一开始就完整地考虑了整个软件安全计划的方方面面，从最终需求的产生、外部法规、行业规范等，一直到企业整个软件生产与运维过程等，面临的安全反复迭代、安全问题响应等，都是BSIMM考虑的范畴。

二是创建以企业实际活动为基础的描述性模型。BSIMM的独特之处在于，所有的数据以及整个模型都是基于对评估实际存在的、在生产企业活动归纳出来的，就是观察到这家企业做了什么，其他家做了什么，然后把它们变成实际的100多项活动的一个模型，它本质上是一个基于纯粹的科学观测的结果。

三是定期收集数据以保持数据新鲜度。BSIMM模型有一个很有价值的点，只要超过42个月没有评估的公司的评估数据，就会从当前年度的版本模型中移除出去。因为根据经验，大概在三年左右，一个公司的安全计划或者说安全方案会有比较大的演进，所以当他超过三年多还没有做新一次评估，我们就认为它之前的那次评估不再具备行业代表性，把它的数据移除出去，也就能够确保我们每年发布的新的模型都是当下最主流的，是大家如何在做安全开发的一个整体的集合反馈。所以当用户参考BSIMM模型的时候，是可以知道当下其他人都在做什么，自己是不是应该快速跟上。

四是创建一个社区，分享每年的最新发现。针对BSIMM评估过几百家企业，有一个线下的社区，在这个社区里面不同的企业可能会互相交流经验，例如怎么做生产，踩过什么样的坑，然后告诉大家如何避免这样的问题，等等。

五是启动软件安全计划的业务转型。企业在数字化转型过程中，会叠加上很多信息安全的各种法律法规，并且不得不考虑这些信息安全需求时，如何启软件安全计划，顺利合法、合规、合理地完成数字化转型，其实还是很关键的，企业可以从BSIMM中得到一些借鉴。

杨国梁强调，目前的BSIMM是基于几百家企业真实实践的结果归纳出来的一个模型，并且这个模型每年发布，都是一个免费开放的报告，任何人都可以从中得到想要的一些结果。BSIMM是全球企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。

发布模型最新版本BSIMM12

BSIMM12反映了观察到的128家公司的软件安全实践，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商（ISV）、云、医疗保健、物联网等。BSIMM12描述了近3,000名软件安全团队成员和6,000多名外围小组成员的工作成果。杨国梁解读了BSIMM12的几个要点：

一是影响广泛的勒索软件和软件供应链中断促使软件安全日益受到关注。面对近两年越来越猖獗的供应链攻击，企业如何确保自己的整个软件供应链安全可靠，不会被黑客从供应链的某一个环节攻入导致系统最终受到影响。现代软件中开源组件盛行，而且利用开源漏洞进行的攻击频发，BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了 61%。在BSIMM12版本里面可以看到，由于勒索病毒导致供应链中断促使软件安全日益受到关注，并且企业采取了一些针对的措施。

二是企业正在学习如何将风险转化为数据。对于处理安全问题已经出现这样的趋势，把面临的安全风险转化为数据的方式来呈现，这一点很重要，对于企业内部安全团队如何获得资源、如何向上汇报、向上管理，然后向上要资源，证明自己的工作成果是非常有帮助的。在BSIMM12中发现，把风险做一些数据化的呈现不管从数量上还是质量上都有相应的上升，过去24个月“在内部发布有关软件安全的数据”活动增加了30%。

三是增强的云安全功能。针对云本身的安全功能，都在BSIMM12里面持续地获得增强，包括对一些容器编排，对一些容器的安全问题的处理与管理等等。与云平台和容器技术相关的活动的增长表明，这些技术对企业如何使用和保护软件产生了巨大影响。例如，在过去两年中，“对容器和虚拟化环境使用编排功能”的观察增加了560%，说明大家对于云化的安全越来越重视，应用容器来支持安全目标，这些安全治理与管控都有相应的增长，并且增长的幅度非常大。

四是安全团队正在为DevOps实践提供资源、人员和知识。安全团队现在已经开始对于开发团队更紧密的合作，不再是一个集中的像一些传统做集中管控、做合规管理等，它逐渐地变成对开发团队、对DevOps团队赋能的角色，会给DevOps团队提供资源、提供技术支撑、提供知识输出，甚至出借人员来帮助 DevOps团队更好地在第一时间在工程层面就把安全问题考虑好、解决好。

总之，BSIMM12可以帮助企业掌握SSI的现状，提供可视性；是衡量新的软件安排方法；是评估企业自身的软件安全方案策略；是建立一个衡量软件安全方案进展的方法；可以向客户、合作伙伴和监管机构展示软件安全状态；可以收集具体细节，以向公司高层或董事会说明安全方案如何发挥作用。

帮助安全团队从容应对挑战

安全团队面临的挑战日益增多与严峻，主要包括以下方面：一是拥抱数字化转型及云技术。企业在数字化转型的过程中涉及到大量的云相关技术，如何确保这些技术的安全问题，如何管理大量的基础设施，等等，这些都面临挑战。二是为工程团队及AppSec团队搭建桥梁。开发团队和安全团队互相不理解，那么如何利用这样的模型帮助双方互相理解，借鉴其他人是怎么做的，把事情能够做得更好。三是向“无处不移”转变。之前较多说的向安全“左移”（shift left），最近两年由于容器技术的兴起，导致一些安全活动只能在容器部署的时候才开始监控，导致不能一味地只是追求“左移”，也要适度向右移（shift right），向部署阶段、监控阶段进行这些安全活动。此外，有的公司各个环节都有相应的安全工作，呈现了shift everywhere的趋势。四是DevSecOps。越来越多的企业开始采用这种DevSecOps高生产力兼顾安全的模型，如何确保效率以及安全，都是安全面临的很大挑战。五是大规模工作的可视性。如何在海量的代码中，采集到所需要的与安全相关的数据，并且用这些数据来驱动工作进一步有序地开展，都是非常困难的。六是管理供应链风险。如何从上到下把供应链的每一个环节都做好管控，尽量避免供应链攻击的状况出现。

新思科技可以提供完整的应用安全解决方案帮助安全团队从容应对上述挑战。杨国梁表示，新思科技今年收购了Code Dx公司，至此我们做了一个比较完整的拼图：从安全测试比如从宏观告诉用户如何设计应用安全的策略，如何开展安全计划，然后在每一个环节该用什么样的工具，都有完全的覆盖。并且在调用这些工具时，有相应的一个Intelligent Orchestration平台，能够把从流程导向一些传统的安全活动，逐渐转变为从风险导向的，有什么样的风险就调用相应的测试规避手段来针对性做测试，而不是一味地说在什么环节要做什么事情，去驱动相应的安全测试，以及各种各样的安全工具。其实大家现在面临的一个问题不是工具太少，而是工具太多了，不一样的工具可能会发现一样的问题，对于发现这些一样问题的海量报警的处理，Code Dx会提供一个统一化平台，把所有工具发现的问题进行一个汇总排序，把真正有价值、有效并且置信度高的一些安全问题过滤出来，使得安全团队不至于整天疲于奔命去处理那些报警噪声，从而有更多时间与精力和开发团队合作。还有一个shift left的实践，就是通过在IDE端的一个插件，可以在IDE编写代码阶段就把应用安全问题解决掉了。所以新思科技目前能够提供一个相应的非常完整的安全解决方案。

影响软件开发安全流程的因素有哪些？应该如何避免这些影响因素呢？杨国梁说，这要从两个方面来回答：一方面是技术层面的因素，比如说工具的可靠性，这个方面的因素可以通过技术层面的不断完善，以及工具的不断改进应该都可以解决。另一方面是人的意识里的因素，比如领导不重视，或者研发团队不理解，比如说领导不重视，或者说研发不理解，这些我们只能通过反复地向上教育，或者反复地对研发团队进行这些必要性的教育来不断推进。这方面的确挺难解决，我们也在不断地去落实。