首頁 | 滾動 | 國內 | 國際 | 運營 | 制造 | 終端 | 監管 | 原創 | 業務 | 技術 | 報告 | 博客 | 特約記者
手機 | 互聯網 | IT | 5G | 光通信 | LTE | 云計算 | 三網融合 | 芯片 | 電源 | 虛擬運營商 | 測試 | 移動互聯網 | 會展
首頁 >> 必讀二 >> 正文

軟件安全如何評估?新思科技:BSIMM成事實標準

2018年11月2日 09:18  CCTIME飛象網  作 者:章芳

飛象網訊(章芳/文)軟件安全在軟件開發過程中的重要性日趨凸顯。尤其是現在大量企業上云、在線電商發展迅猛、移動支付成風,稍有不慎就會導致用戶錢財受損和信息泄露。怎樣高效評估軟件的安全性是開發人員的頭等大事。

“工欲善其事,必先利其器。”越來越多的企業選擇借助于現成的工具來測量和評估其軟件安全計劃。新思科技軟件質量與安全部門管理顧問Olli Jarva 和高級安全架構師楊國梁接受飛象網記者采訪時表示,新思科技的軟件安全構建成熟度模型——BSIMM,旨在幫助企業規劃、執行并評估其軟件安全計劃(SSIs),BSIMM已經成為評估軟件安全的事實標準。

軟件安全不簡單

Olli Jarva指出,軟件安全遠不止是一組安全功能,軟件設計的非功能性方面同樣至關重要。通常漏洞和缺陷占比為50/50,安全性是整個系統的突現特性,要獲得安全的軟件,必須與SDLC(軟件開發生命周期)進行深度集成。

新思科技軟件質量與安全部門管理顧問Olli Jarva

據他介紹,市場上使用最多的是微軟的安全開發生命周期SDL和OWASP CLASP,強調的是“應該如何做”,是規定性模型。而BSIMM是描述性模型,描述實際發生了什么,記錄觀察結果,可以描述和評估多種規定性方法。

據悉,BSIMM于2008年由Cigital公司開發,2016年被新思科技收購。通過觀察和分析全球杰出的SSI的真實數據,幫助企業理解、衡量和規劃SSI。2013年,華為產品與解決方案部門采用了新思科技的BSIMM評估。

經過五年BSIMM評估,其整個軟件開發生命周期(SDLC)的安全成熟得到提高。根據最新的BSIMM評估,在BSIMM框架實踐中,華為超過了全球行業平均標準。例如,華為云在2018年年初的安全評估中獲得了高分。華為是首家在BSIMM評估中獲得高分的中國云服務供應商。

BSIMM成衡量軟件是否安全的標尺

除了華為,高通、SONY、VMware等知名企業也參與了BSIMM的評估。最新數據,BSIMM評估過167家公司,收集了120家企業的軟件安全計劃真實數據,已經累計有389次獨立評估,有42個軟件安全計劃至少被評估過兩次或以上(每家公司五次)。

借助于從120家企業收集到的原始數據,不僅可以了解企業與同行相比處于什么狀態,而且也可以了解他們在軟件安全性方面的投資如何隨著時間的推移而發展。這種歷史性的理解反過來可以幫助他們的組織機構預測未來的最新技術將體現在什么方面,然后相應地權衡他們的投資。“BSIMM是衡量軟件安全性的標尺,也是了解軟件安全性行業過去及未來的最佳途徑。”楊國梁如是說。

新思科技軟件質量與安全部門高級安全架構師楊國梁

與此同時,參與BSIMM的120家企業共同組成了BSIMM社區。這個擁有將近600名成員的專屬在線社區平臺給軟件安全人員提供了一個論壇。BSIMM社區還組織召開年度專屬會議,迄今為止已經召開過15次BSIMM社區會議,其中8次在美國召開,7次在歐洲召開。

十年結晶,BSIMM9閃亮登場

近日,新思科技發布最新版的軟件安全構建成熟度模型——BSIMM9,這是BSIMM的第九個版本,收集了120家企業過去10年的真實數據,該模型可以向后兼容。

據了解,BSIMM9整合了所收集的有關軟件安全性的最大規模數據集。其描述了7,800多名軟件安全專家的工作成果,展現了軟件安全最佳實踐模塊背后的科學性。這些成果對41.5萬名開發人員有指導作用,幫助他們最大化地保障產品的安全性。這些開發人員參與約13.5萬應用程序的開發工作。

相較于BSIMM8,BSIMM9有三大亮點:一是將與云轉型有關的新活動加入到BSIMM報告;二是BSIMM9數據中納入了一個新的垂直行業——零售業;三是評估群體規模擴大,BSIMM8收集的數據來自109家公司,BSIMM9增加到120家。

最后,Olli Jarva總結了BSIMM的價值所在:“通過BSIMM評估結果,可以向客戶、合作伙伴和監管機構展示軟件安全狀態。根據BSIMM評估結果,找出不足從而改善,向公司申請預算和資源。通過BSIMM,可以評估軟件安全計劃成熟度,評估企業自身的軟件安全計劃策略,建立一個衡量軟件安全計劃進展的方法。”

編 輯:章芳
免責聲明:刊載本文目的在于傳播更多行業信息,不代表本站對讀者構成任何其它建議,請讀者僅作參考,更不能作為投資使用依據,請自行核實相關內容。
相關新聞              
 
人物
2018年9月15日,中國電信董事長楊杰在2018世界物聯網博覽會無..
精彩專題
中國信科首秀2018中國國際信息通信展
中國電信綻放2018國際通信展
聚焦2018年中國國際信息通信展
遇見美好未來--世界移動大會·上海
CCTIME推薦
關于我們 | 廣告報價 | 聯系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網 CopyRight © 2007-2017 By CCTIME.COM
京ICP備08004280號  電信與信息服務業務經營許可證080234號 京公網安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經書面許可,禁止轉載、摘編、復制、鏡像
重庆时时彩龙虎和诀窍