随着科技的不断进步,软件以其方便、快捷、实用性强等特点被广泛应用于各个领域。但随之而来的安全问题也越来越突出,从软件缺陷到漏洞,再到大规模数据泄露,尤其是现在越来越多的企业将一些关键业务转移到线上,一旦出现软件安全问题就会有灾难性后果或重大经济损失,因此有必要对软件的安全性进行有效评估。组织现在通常从其软件开发生命周期中收集安全指标,实施基本安全措施,并将保护用户数据的义务定义为基本安全策略的一部分。根据《构建安全成熟度模型》(BSIMM)年度报告,超过四分之三的受访组织定期实施10项常见安全措施以改善其整体防御态势,包括监控其安全开发生命周期(SDLC)和使用自动化工具等。建筑安全成熟度模型(BSIMM)是一种数据驱动模型,它使用一组面对面访谈技术来执行BSIMM评估,其唯一目的是观察和报告。是衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM软件安全框架(SSF)由四个域组成-治理、智能、SSDL接触点和部署。这四个领域包括12个实用模块,这12个实用模块包含122个BSIMM活动。该报告基于对受访公司12个实践模块的评估,询问他们是否开展了122项不同的安全活动中的任何一项。结果显示,在参与调查的128家公司中,92%的公司从其软件开发生命周期中收集数据以提高安全性,而91%的公司定期确认其底层主机和网络安全措施的状态——根据BSIMM调查结果排名列表是受访组织中最常见的两个安全举措。BSIMM报告的作者之一EliErlikhman表示,数据显示组织在改进其软件安全流程方面取得了重大进展。他解释说,“我们看到软件安全流程的进一步改进和组织在控制开源风险、供应商安全和错误发现等领域变得更好。与此同时,我们看到行业仍有改进的空间,组织应该继续建立自己的能力。”当前的评估发现越来越多的公共事件涉及勒索软件攻击和软件供应链攻击(例如对远程管理软件制造商Kaseya的攻击),使组织更接近旨在预防或减轻事件的措施。在过去两年中,61%的受访组织正在积极寻求识别开源风险——今年为74个,而两年前为46个——并且有55个已开始许可模板软件许可证,比两年前有所增加。增加了57%。在过去的18个月中,组织在其数字化转型计划中经历了“大飞跃”。鉴于这些变化的复杂性和速度,对于安全团队来说,拥有能够让他们了解自己的立场并告知下一步行动的工具变得前所未有的重要。BSIMM报告旨在使公司能够就如何随着时间的推移改进其软件安全工作做出数据驱动的决策。最常见的10项举措以及参与其中的组织的百分比如下:实施生命周期检测并使用它来定义治理(92%);确保主机和网络安全基础设施到位(91%);确定PII义务(89%)%);执行安全功能审查(88%);使用外部渗透测试人员发现问题(87%);创建事件响应或与之交互(84%);集成和交付安全功能(80%);使用自动化工具(80%)%);确保QA执行边缘/边界值条件测试(78%);将合规约束转化为要求(77%);数据显示,总体而言,企业组织结构日趋成熟。两年前,BSIMM报告发现,只有70%的受访组织实施了前10项举措中最不常见的一项,而今年这一比例为77%。BSIMM调查还显示,越来越多的企业组织专注于保护其软件供应链和保护其基础设施。增长最快的两项活动是容器和虚拟化环境的应用程序编排,有33家参与公司,高于两年前的5家,其次是EnsuringCloudSecurityFoundation,与两年前相比,现在有59家参与公司。有9家。检查软件物料清单(SBOM)是软件安全的另一个快速增长的领域,有14家公司从事这项活动,而两年前只有3家公司。报告还发现,其中许多活动已经从“专注于将安全进一步推向发展”——即所谓的“左移”——转变为“专注于在需要的地方增加安全活动”——即所谓的“无处不在”“(到处移动)。运营基础设施的自动化安全验证就是一个例子,其中安全性向左移至开发,向右移至操作,并更全面地移至工程。本文翻译自:https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions
