新思科技:軟件安全之旅需要借助“他山之石”

隨著全球數(shù)字化轉(zhuǎn)型的不斷深入，軟件安全也迎來了高速發(fā)展期。只有建立可信、健全的軟件安全保障體系，才能筑牢數(shù)字經(jīng)濟(jì)的網(wǎng)絡(luò)安全屏障。

中國正在把發(fā)展經(jīng)濟(jì)的著力點(diǎn)放在實(shí)體經(jīng)濟(jì)上，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國。同時，數(shù)字經(jīng)濟(jì)與各種產(chǎn)業(yè)疊加，賦予數(shù)字化力量，可以提升實(shí)體經(jīng)濟(jì)的產(chǎn)業(yè)優(yōu)勢，促進(jìn)產(chǎn)業(yè)邁向高質(zhì)量。對此，新思科技強(qiáng)調(diào)，數(shù)字賦能，安全先行。把安全貫穿在數(shù)字經(jīng)濟(jì)發(fā)展的全過程，才能行穩(wěn)致遠(yuǎn)。軟件安全不會一蹴而就，而是一個旅程，需要借鑒“他山之石”，取長補(bǔ)短。

當(dāng)然，他人的經(jīng)驗(yàn)并非都有普適性。雖然出發(fā)點(diǎn)是好的，但是如果采納了不適合自身的軟件安全建議，或者盲目跟隨某家企業(yè)的軟件安全計劃，可能會導(dǎo)致?lián)p失。一旦不法分子發(fā)現(xiàn)其中的缺陷和漏洞，就可以竊取知識產(chǎn)權(quán)、員工和客戶的個人信息、清空公司銀行賬戶、破壞建筑的安保，甚至通過勒索軟件來破壞企業(yè)運(yùn)營。

在如今數(shù)字化轉(zhuǎn)型的大環(huán)境中，每個企業(yè)在本質(zhì)上都是一家軟件公司。因此軟件風(fēng)險很大程度上等同于業(yè)務(wù)風(fēng)險。在競爭激烈且充滿不確定性的市場環(huán)境中，企業(yè)應(yīng)該對軟件安全建議謹(jǐn)慎求證，才能確定是否應(yīng)該采取后續(xù)行動。

如果從一兩家公司的軟件安全計劃中找不到合適的參照，那100多家呢？基于大量的真實(shí)數(shù)據(jù)，描述哪些方案是有效的，哪些是失敗的，更重要的是行業(yè)在發(fā)生什么變化，已經(jīng)采取了哪些安全舉措以更高效地響應(yīng)這些變化，進(jìn)而構(gòu)建可信軟件。

這也是自2008年開始，全球有數(shù)百家企業(yè)參加軟件安全構(gòu)建成熟度模型（BSIMM）評估的原因。這其中也不乏中國企業(yè)，比如OPPO、聯(lián)想和浪潮參加了新思科技最新的BSIMM13評估。

BSIMM是免費(fèi)及開放的標(biāo)準(zhǔn)，廣泛適用于各行業(yè)。BSIMM 軟件安全框架(SSF)包含四個領(lǐng)域 — 治理、 情報、 SSDL 觸點(diǎn)和部署，涵蓋250項(xiàng)軟件安全計劃，觀察企業(yè)如何將安全性構(gòu)建到軟件開發(fā)中，以應(yīng)對不斷變化的數(shù)字威脅環(huán)境。通過這種數(shù)據(jù)驅(qū)動的視角，BSIMM可全面評估企業(yè)軟件安全小組的成熟度，并創(chuàng)建用于衡量其計劃成熟度的軟件安全計分卡。

除了評估和計分卡，BSIMM還為多樣化的成員社區(qū)搭建交流橋梁，大家可以互動、學(xué)習(xí)行業(yè)最佳實(shí)踐、獲得對不斷變化的商業(yè)環(huán)境的新見解，并參加線下活動，以促進(jìn)更緊密的聯(lián)系和合作。

無論您是正在制定軟件安全計劃，還是已經(jīng)開始維護(hù)成熟的計劃，根據(jù)BSIMM13數(shù)據(jù)，都應(yīng)該考慮實(shí)施以下措施：

●   自動化軟件安全工具到位。無論是用于靜態(tài)或動態(tài)測試還是軟件組成分析，這些工具都可以識別并幫助修復(fù)關(guān)鍵軟件中的缺陷、漏洞和惡意代碼，無論是內(nèi)部開發(fā)的軟件、商業(yè)第三方軟件還是開源軟件。

●   基于數(shù)據(jù)驅(qū)動安全決策。使用安全測試工具收集數(shù)據(jù)、合并數(shù)據(jù)，然后使用這些數(shù)據(jù)制定和實(shí)施軟件安全策略。收集有關(guān)執(zhí)行了哪些測試以及發(fā)現(xiàn)了哪些問題的數(shù)據(jù)，以推動同時改進(jìn)軟件開發(fā)生命周期(SDLC)和治理流程。

●   向自動化安全測試和決策轉(zhuǎn)變。從人力資源密集的人工方式轉(zhuǎn)變?yōu)楦恢隆⒏咝?、可重?fù)性更強(qiáng)的自動化方法。

●   在SDLC中向規(guī)模更小的自動檢測轉(zhuǎn)變。在檢查軟件時，盡一切可能通過規(guī)模更小、速度更快、管道驅(qū)動的測試替代滲透測試或人工代碼審查等手動活動。

●   盡早創(chuàng)建全面的軟件物料清單(SBOM)。SBOM中應(yīng)包括企業(yè)的資產(chǎn)清單以及開源和第三方代碼清單。

BSIMM13觀察到的其中一個趨勢是軟件供應(yīng)鏈風(fēng)險管理興起。就在幾年前，這還是安全社區(qū)的邊緣話題?，F(xiàn)在，可能由于近期比較頻繁的供應(yīng)鏈攻擊事件影響，管理軟件供應(yīng)鏈風(fēng)險（最常見的是通過識別和保護(hù)開源軟件來執(zhí)行）成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報告顯示，與控制開源風(fēng)險相關(guān)的活動增加了 51%，通過構(gòu)建和維護(hù)SBOM以對其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。

在BSIMM13中，最引人注目的數(shù)字或許是0。數(shù)據(jù)表明，在130家參與評估的企業(yè)中，沒有一家的軟件安全小組具有完全相同的架構(gòu)。沒有一個所謂“最好”的途徑可以構(gòu)建出成熟的軟件安全應(yīng)用。但我們有著共同的目標(biāo)：構(gòu)建可信的軟件。

BSIMM并不規(guī)定企業(yè)需要采取何種路徑。而是幫助企業(yè)能夠根據(jù)其自身的風(fēng)險概況和優(yōu)先級制定合適的計劃，以提升軟件安全成熟度。