【赛迪网讯】如何让自己的软件更安全是许多企业必须持续思考的永恒课题，而打造安全可靠的软件离不开严谨科学的软件安全构建评估模型。

新思科技作为一家深耕软件安全的科技公司，自2008年首次发布新思科技软件安全构建成熟度模型（BSIMM）以来，近日新思科技全新发布了BSIMM的第十二个版本——BSIMM12。为此，在新思科技BSIMM12媒体采访会上，新思科技软件质量与安全部门高级安全架构师杨国梁详细介绍了BSIMM12的一些基本情况，并分享了新思科技从事软件安全方案评估十多年以来的思考。

BSIMM12的要点所在 

在重点介绍BSIMM12之前，杨国梁首先谈到了新思科技持续做BSIMM报告的初心。他指出，BSIMM模型从一开始就完整地考虑了整个软件安全计划的方方面面，创建了以企业实际活动为基础的描述性模型。杨国梁着重强调了BSIMM模型定期收集数据以保持数据新鲜度。除此之外，新思科技还创建了社区以分享最新发现，并推动软件安全计划的业务转型。

杨国梁总结了最新的BSIMM12版本的要点。他指出，影响广泛的勒索软件和软件供应链中断促使软件安全日益受到关注，来自勒索软件的攻击以及供应链的中断风险都在威胁着企业的软件安全。

他还指出企业正在学习如何将风险转化为数据，使风险可视化，帮助针对软件安全的决策设计。此次发布的BSIMM12版本还增强了云安全功能，在其中加强了容器编排和容器安全问题的处理。杨国梁还认为安全团队正在为DevOps实践提供资源、人员和知识。安全团队的主要职能将从传统的集中管控与合规管理向赋能DevOps团队转变。

杨国梁还谈到了一个新的趋势，即软件物料清单关注度提升。他指出现在在软件行业内也在推行Software BOM（SBOM）的概念。为了加强对供应商提供产品的安全管理，需要通过运营物料清单增强应用库存盘点来加强安全监管。

利用BSIMM达成目标 

杨国梁强调BSIMM并不是一套方法论或者指导性的模型，而是衡量安全活动的标尺。

杨国梁谈到了BSIMM如何帮助客户达成安全相关的目标，他将其总结为六点：掌握SSI的现状，提供可视性；衡量新的软件安全方法；评估企业自身的软件安全方案策略；建立一个衡量软件安全方案进展的方法；展示软件安全状态（向客户、合作伙伴和监管机构）；收集具体细节，以向公司高层或董事会说明安全方案如何发挥作用。

他认为BSIMM模型不仅可以帮助客户达成供应链的安全目标，还可以对监管机构进行展示、自证。

安全团队面临的挑战

杨国梁还指出了安全团队面临的主流挑战。首先是拥抱数字化转型及云技术，由于企业数字化转型的过程中涉及到大量云相关的技术，因此亟需保证这种技术的安全性。相关的安全问题还有基础设施即代码的安全问题，以及容器镜像的管理、基础设施的管理问题等等。

第二是为工程团队及AppSec团队搭建桥梁。他认为必须要建立起开发团队和安全团队之间的桥梁，要建立起帮助双方相互理解的模式。

第三是向“无处不移”转变。具体来说，他认为安全活动不能只是一味追求“左移”（shift left）。最近两年由于容器技术的兴起，导致一些安全活动只能在容器里部署的阶段才监控，还要适度地向“右移”（shift right），向部署阶段、监控阶段进行安全活动。除了这些之外，公司各个环节都有相应的安全工作，所以它从“左移”（shift left）变成“无处不移”（shift everywhere）的趋势。

第四是DevSecOps的问题，他指出越来越多的企业开始采用DevSecOps高生产力兼顾安全的模型，而在DevSecOps的过程中如何确保效率以及安全也是一种挑战。

第五是大规模工作的可视性。杨国梁认为，在海量的代码之下如何确保得到相应的数据尤其是与安全相关的数据，以及利用这些数据指导工作开展是十分困难的。

第六是管理供应链风险。他认为安全团队必须紧密关注供应链的每一个环节，并做好相应的管控，避免出现供应链遭受攻击的情况。

他还介绍了新思科技的Intelligent Orchestration平台，该平台能够把一些从流程导向的传统安全活动，逐渐转变为从风险导向的。

而当被问及BSIMM在国内企业中的适用范围时，杨国梁表示，我们不挑行业，某个行业如果到了一定的规模，新思就会对这个行业推出它的评估平均值的蛛网图报告。但由于在实践过程中实际上并不是所有企业都奔着得满分去的，因此评判BSIMM模型的适用范围的真正标准实际上是是否对企业有益处，或者说在安全评估方面有无需求。(文/徐培炎)