近日，新思科技宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。BSIMM11其中一个重要发现是：安全“左移”变为“无处不移”。尽管在开发过程中开展一些安全测试推动了左移的发展，但我们的目标远远不止于此。那些试图维护准确的软件清单数据的企业发现，他们需要在源代码内容管理、构建过程、部署过程和运维环境间协调工作。原因是清单的详细度和内容可能因视角而不同，并且频繁变化。这些企业不仅需要努力维护现有库存工作的有效性，同时还要适应响应工程技术自助服务趋势和数字化转型发生的变化的新的软件生命周期、软件架构变化以及任何底层软件、部署和云技术变化，以响应工程技术自助服务趋势和数字化转型带来的巨变。

 

BSIMM旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8,457名软件安全专家的工作成果，这些成果对超过49万名开发人员有指导作用。

 

 

BSIMM是企业衡量软件安全的标尺，他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例。

 

美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员，其首席信息安全官 Mike Newborn表示：“对于有兴趣学习同行经验，尤其是如何解决新的或正在涌现的挑战的安全领导者而言，BSIMM提供丰富的资源。如今，大多数企业都面临着这样的挑战：一方面需要加速软件开发和推出市场；另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略，在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”

 

BSIMM11报告发现的新趋势包括：

 

●工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量。BSIMM11表明，持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。

 

●软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。