新思科技軟件質量與安全部門高級安全架構師楊國樑表示,“安全不應該是在最後被疊加上去的一些輔助性的功能,而應該是整個系統的天然特質。因此要想獲得安全的軟件,必須與軟件開發生命週期進行深度集成。”
文︱李夢穎
圖︱網絡
20世紀90年代末期,軟件安全作為獨立於計算機和網絡安全的新學科開始蓬勃發展。研究人員開始投入更多的精力去研究程序員如何能為計算機系統保駕護航,或在無意間破壞其安全:哪些錯誤和缺陷引發了安全問題?如何系統地識別問題?
軟件安全問題通常可以分為漏洞與缺陷,漏洞指編碼過程中出現的問題,而缺陷指設計過程中出現的問題。據調查,目前漏洞和缺陷佔比大約為50/50。此外,Risk Based Security也曾有報告指出,單單2018年上半年,業界就發佈了 10,644 個漏洞,超過 2017 年同期的 9,690 個,其中有近 17%屬於高危級別的嚴重漏洞。這些漏洞以及設計缺陷影響著軟件的可靠性、可用性,以及軟件中信息的保密性和完整性,有可能造成信息洩露等安全問題。
近年來,軟件安全行業達成了一個新共識:企業僅憑一己之力是無法創建安全軟件的。要想實現軟件安全,他們必須參與到軟件開發流程之中,即使該流程不斷髮展演進也不例外。從那時起,軟件安全公司便開始瞭解該流程,明白了僅憑開發者工具並不足以保證軟件安全。
軟件安全還涉及到業務、社會和組織層面。企業需要建立為構建安全軟件而開展的所有活動,即“軟件安全計劃”(SSI)。
對此,新思科技軟件質量與安全部門高級安全架構師楊國樑表示,“安全不應該是在最後被疊加上去的一些輔助性的功能,而應該是整個系統的天然特質。因此要想獲得安全的軟件,必須與軟件開發生命週期進行深度集成。”
目前,針對軟件安全性問題的解決方案有很多。大體分為兩大類,一種是以微軟SDL為代表的“指導性”模型。一種是新思科技BSIMM(軟件安全構建成熟度模型)“描述性”模型。所謂指導性模型是指,在軟件開發的每一個階段提出相應的安全活動和規範,即告訴你每一個階段“應該做什麼”,從而提高軟件產品的安全性。
SDL每階段內容
而描述性模型並不是一個指導方案,它只進行事實陳述,告訴你“發生了什麼”,即此模型會對你的企業進行評估,描述標記你的企業進行了哪些活動,與同行業相比,你們公司處於怎樣的位置,描述性模型不會進行價值判斷。楊國樑稱其為“一個收集優秀實踐、反應市場真實性的模型。”基於這樣的特質,描述性模型可以評估各種各樣的指導性模型。楊國樑認為,指導性模型是企業必備的,尤其是些中小企業,但是在使用指導性模型之後,還是需要BSIMM這樣的描述性模型去評估這些活動到底開展的如何。對於小企業或是初創企業來說,使用描述性模型,可以讓一個“學渣”巧妙地瞭解到“學霸”們都在“偷偷”開展些什麼活動,沒準稍不留神就獲得了很多有啟發性的想法,從此成就一番霸業。
BSIMM模型發展至今已經有了10年的歷史,10月25日新思科技發佈了BSIMM模型第十版,即BSIMM 10。在過去的十年裡,新思科技採用BSIMM對185家公司進行了約450次評估,第十個版本反應了觀察到的122家公司的軟件安全活動,包括的數據是從真正建立SSI的公司收集而來,量化了119項活動來展示各個公司計劃的共同以及不同之處。
BSIMM 10相較於之前的版本強調了DevOps對軟件安全計劃的影響、工程導向的安全工作的新浪潮,以及公司如何在軟件安全成熟度的三個階段前行。BSIMM模型經過10年的發展,其數據池已從最初的9家增加到如今BSIMM 10的122家企業,對於行業情況的反應越來越全面。在保證樣本新鮮度方面,新思科技採取不斷更新參與企業名單的方式,剔除時間超過36個月的評估結果。對越來越少被觀察到的活動,在經過慎重考慮後進行降級處理。同時增加新的頻繁被觀察到的活動。由此看來,BSIMM模型更像是一個“活”的模型,始終儘可能快地反映著市場的真實情況。資料顯示,2018年年初,華為雲曾在BSIMM的安全評估中獲得了高分。
新思科技首席科學家Sammy Migues曾說過:“領導一個有效的軟件安全計劃是富有挑戰性的,而DevOps和CI/CD帶來的巨大技術和組織變革並沒有使這項任務變得更加容易。作為不斷髮展以反映全球數百個軟件安全小組的經驗的工具,無論你是剛剛開始軟件安全旅程,還是尋求優化程序或者應對新的挑戰,BSIMM以及社區都是寶貴的資源。”
軟件安全對於軟件的設計者而言是十分重要的事情,眾所周知,如果在軟件實際開發出來後發現安全問題,再進行修補甚至推翻重來代價十分高昂,因此將“安全”深度集成到軟件開發的生命週期中是必要的。藉助於新思科技BSIMM模型,希望我們的軟件安全問題能夠得到進一步的改善。
END
閱讀更多 王樹一 的文章
