首页 | 滚动 | 国内 | 国际 | 运营 | 制造 | 终端 | 监管 | 原创 | 业务 | 技术 | 报告 | 博客 | 特?#25216;?#32773;
手机 | 互联网 | IT | 5G | 光通信 | LTE | 云计算 | 三网融合 | 芯片 | 电源 | 虚拟运营商 | 测试 | 移动互联网 | 会展
首页 >> 必读二 >> 正文

软件安全如何评估£¿新思科技£ºBSIMM成事实标准

2018年11月2日 09:18  CCTIME飞象网  作 者£º章芳

飞象网讯£¨章芳/?#27169;?#36719;件安全在软件开发过程中的重要性日趋凸显¡£尤其是现在大?#31185;?#19994;?#26174;Æ¡?#22312;线电商发展迅猛¡¢移动支付成风£¬稍有不慎就会导致用户钱财受损和信息泄露¡£怎样高效评估软件的安全性是开发人员的头等大事¡£

¡°工欲善其事£¬必先利其器¡£¡±越来越多的企业选择借助于现成的工具来测量和评估其软件安全计划¡£新思科技软件质量与安全部门管理顾问Olli Jarva 和高级安全架构师杨国梁接受飞象网记者采访时表示£¬新思科技的软件安全构建成熟度模型¡ª¡ªBSIMM£¬旨在帮助企业规划¡¢执行并评估其软件安全计划(SSIs)£¬BSIMM已经成为评估软件安全的事实标准¡£

软件安全不简单

Olli Jarva指出£¬软件安全远不止是一组安全功能£¬软件设计的非功能性方面同样至关重要¡£通常漏洞和缺陷占比为50/50£¬安全性是整个系统的突现特性£¬要获得安全的软件£¬必须与SDLC£¨软件开发生命周期£©进行深度集成¡£

新思科技软件质量与安全部门管理顾问Olli Jarva

据他介绍£¬市场上使用最多的是微软的安全开发生命周期SDL和OWASP CLASP£¬强调的是¡°应该如何做?#20445;?#26159;规定性模型¡£而BSIMM是描述性模型£¬描述实际发生了什么£¬记录观察结果£¬可以描述和评估多种规定性方法¡£

据悉£¬BSIMM于2008年由Cigital公司开发£¬2016年被新思科技?#23637;º¡?#36890;过观察和分析全球杰出的SSI的真实数据£¬帮助企业理解¡¢衡量?#20984;?#21010;SSI¡£2013年£¬华为产品与解决方案部门采用了新思科技的BSIMM评估¡£

经过五年BSIMM评估£¬其整个软件开发生命周期£¨SDLC£©的安全成熟得到提高¡£根据最新的BSIMM评估£¬在BSIMM框架实践中£¬华为超过了全球行业平均标准¡£例如£¬华为云在2018年年初的安全评估中获得了高分¡£华为是?#20934;?#22312;BSIMM评估中获得高分的中国云服务供应商¡£

BSIMM成衡量软件是否安全的标尺

除了华为£¬高通¡¢SONY¡¢VMware等知名企业也参与了BSIMM的评估¡£最新数据£¬BSIMM评估过167家公司£¬?#21344;?#20102;120家企业的软件安全计划真实数据£¬已经累计有389次独立评估£¬有42个软件安全计划至少被评估过两次或以上£¨每家公司五次£©¡£

借助于从120家企业?#21344;?#21040;的原?#38469;?#25454;£¬不仅可以了解企业与同行相比处于什么状态£¬而且?#37096;?#20197;了解他们在软件安全性方面的投资如何随着时间的推移而发展¡£这种历史性的理解反过来可以帮助他们的组织机构预测未来的最新技术将体现在什么方面£¬然后相应地权衡他们的投资¡£¡°BSIMM是衡量软件安全性的标尺£¬也是了解软件安全性行业过去及未来的最佳途径¡£¡±杨国梁如是说¡£

新思科技软件质量与安全部门高级安全架构师杨国梁

与此同时£¬参与BSIMM的120家企业共同组成了BSIMM社区¡£这个拥有将近600名成员的专属在线社区平台给软件安全人员提供了一个论?#22330;£BSIMM社区还组织召开年度专属会议£¬迄今为止已经召开过15次BSIMM社区会议£¬其中8次在美国召开£¬7次在?#20998;?#21484;开¡£

十年结晶£¬BSIMM9闪亮登场

近日£¬新思科技发布最新版的软件安全构建成熟度模型¡ª¡ªBSIMM9£¬这是BSIMM的第九个版本£¬?#21344;?#20102;120家企业过去10年的真实数据£¬该模型可以向后兼容¡£

据了解£¬BSIMM9整合了所?#21344;?#30340;有关软件安全性的最大规模数据集¡£其描述了7,800多名软件安全专家的工作成果£¬展现了软件安全最佳实践模块背后的科学性¡£这些成果对41.5万名开发人员有指导作用£¬帮助他们最大化地保障产品的安全性¡£这些开发人员参与约13.5万应用程序的开发工作¡£

相较于BSIMM8£¬BSIMM9有三大亮点£º一是将与云转型有关的新活动?#23588;?#21040;BSIMM报告£»二是BSIMM9数据中纳入了一个新的垂直行业¡ª¡ª零售业£»三是评估群体规模扩大£¬BSIMM8?#21344;?#30340;数据来自109家公司£¬BSIMM9增加到120家¡£

最后£¬Olli Jarva总结了BSIMM的价值所在£º¡°通过BSIMM评估结果£¬可以向客户¡¢合作伙伴和监管机构展示软件安全状态¡£根据BSIMM评估结果£¬?#39029;?#19981;足从而改善£¬向公司申请预算和资源¡£通过BSIMM£¬可以评估软件安全计划成熟度£¬评估企业自身的软件安全计划策略£¬建立一个衡量软件安全计划进展的方法¡£¡±

编 辑£º章芳
免责声明£º刊载本文目的在于传播更多行业信息£¬不代表本站对读者构成任何其它建议£¬请读者仅作参考£¬更不能作为投资使用依据£¬请自行核实相关内容¡£
相关新闻              
 
人物
2018年9月15日£¬中国电信董事长杨杰在2018世界物联网博览会无..
精?#39318;?#39064;
中国信科首秀2018中国国际信息通信展
中国电信绽放2018国际通信展
聚焦2018年中国国际信息通信展
遇见美好未来--世界移动大会¡¤上海
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2017 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称£º ?#26412;?#39134;象互动文化传媒有限公司
未经书面许可£¬禁止转载¡¢摘编¡¢复制¡¢镜像
ÖØÇìʱʱ²ÊÁú»¢ºÍ¾÷ÇÏ