2023年12月初，新思科技发布了BSIMM14从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化资源-CSDN文库

供应链安全

需积分: 5 127 浏览量 2023-12-19 12:23:39 上传评论收藏 3.31MB PDF 举报

资源推荐

资源详情

资源评论

2023年度报告

翻译：manok

部分：执行摘要

............................................. 4

访问BSIMM14……………………………………………………………….5

BSIMM14

数据指示灯

........................................................................ 6

趋势与见解综述

................................................................................. 7

软件安全如何变化 .................................................... 7

扩展安全范围 .......................................................... 7

谁拥有安全 ............................................................ 8

软件安全中的重要决策 ............................................... 8

行动呼吁 ........................................................................................ 9

计划您的旅程 .......................................................... 9

掌握你所拥有的 ....................................................... 9

进行正确的投资 ....................................................... 9

bsim骨架..................................................................................... 10

第2部分：趋势和见解……………………………………………………. 12

随时随地转换的演变……………………………………………………. 13

集成工具 .............................................................. 13

治理和自动化 ......................................................... 13

安全接触点 ........................................................... 13

启用人员 .............................................................. 14

软件供应链风险管理

......................................................................... 14

软件材料清单（SBOM） ............................................. 14

开源风险管理 ......................................................... 14

供应商管理和定制软件 .............................................. 14

产品安全和应用程序

安全 .................................................................. 14

将产品运送到危险环境…………………………………………………14

不断增长的“产品安全计划”代表 .................................... 15

安全启用码

.....................................................................................

安全冠军 .............................................................. 15

云架构 ................................................................. 15

安全经济学

....................................................................................

我们正在关注的主题 ....................................................................... 15

第

部分：

bsim

参与者

…………………………………………………….16

参与者 ......................................................................................... 17

第

部分：快速指南

至

SSI

成熟

................................................... 19

SSI

排行榜的基准

............................................................................ 20

您的SSI是否与时俱进

在您的软件组合中？ ................................................ 20

你在创造你需要的DevSecOps文化吗？………………………20

你在到处转移安保工作吗

在工程生命周期中？ ................................................. 20

你的

SSI

如何衡量？

……………………………………………………..

使用bsim记分卡取得进展 ............................................................... 20

了解您的组织任务 ................................................... 21

建立记分卡 ........................................................... 21

制定战略计划并执行 ................................................ 21

第

部分：

bsim

框架

…………………………………………………………..24

核心知识 ...................................................................................... 25

了解模型

....................................................................................... 26

第

部分：

bsim

活动

……………………………………………………………27

BSIMM28

中

的

活动

治理............................................................................................ 28

治理：战略与指标（SM） ........................................... 28

治理：合规与政策（CP） ........................................... 30

治理：培训（T） .................................................... 32

智能............................................................................................ 34

情报：攻击模型（AM） ............................................. 34

智能：安全特性与设计（SFD） ..................................... 36

情报：标准与要求（SR） ........................................... 37

SDLC接触点 ................................................................................ 39

SDLC接触点：体系结构分析（AA） ................................ 39

SDLC接触点：代码审查（CR） ..................................... 40

SDLC接触点：安全测试（ST） ..................................... 42

部署............................................................................................ 44

部署：渗透测试（PT） .............................................. 44

部署：软件环境（SE） .............................................. 45

部署：配置管理&

漏洞管理（CMVM） .................................................. 46

附件 ........................................................... 49

软件安全倡议中

的

角色

………………………………………………………..50

高管

领导 .......................................................................................50

软件

安全

小组组长

..........................................................................51

软件

安

全组（

SSG

）

........................................................................52

安全冠军（卫星）

............................................................................52

关键

利益相关者

..............................................................................53

如何构建或升级SSI54

参与者的

建筑

经验教训

………………………………………………………….54

文化.................................................................... 55

工程文化的新浪潮 .................................................... 55

了解更多关于DevOps56

作为目标的融合…………………………………………………………..56

对于一个新兴的SSI:SDLC到SSDL ....................................................57

创建软件安全组 ...................................................... 58

SSDL文件化和社会化……………………………………..58

库存应用程序 ......................................................... 58

应用基础设施安全 .................................................... 59

部署缺陷发现 ......................................................... 59

管理发现的缺陷 ...................................................... 59

发布和推广流程 ...................................................... 59

迈向旅程的下一步 .................................................... 59

一个成熟的SSI：协调目标 ...............................................................60

统一结构，巩固工作 ................................................. 60

展开安全控制 ......................................................... 60

参与开发 .............................................................. 61

清点和选择范围内软件 ............................................... 61

随时随地实施安全基础知识…………………………………………61

集成缺陷发现和预防 ................................................. 62

升级事件响应 ......................................................... 62

重复和改进 ............................................................ 62

实现SSI：数据驱动的改进 ...............................................................62

进步不是一条直线 .................................................... 62

推动敏捷友好SSIs……………………………………………………………………….63

bsim框架的

详细视图 64

bsim骨架 .................................................................................... 64

从

BSIMM1364

创建

BSIMM14

模型随时间变化 ............................................................................. 68

数据：BSIMM14……………………………………………………….71

基于年龄的程序更改 ....................................................................... 71

活动随时间变化

...............................................................................

数据分析：

垂直 ...............................................................

物联网、云和ISV垂直 ..................................................................... 76

金融、医疗保健和保险

垂直

领域

......................................................... 76

金融和技术垂直领域 ....................................................................... 77

技术与非技术 ................................................................................ 78

垂直

记分卡 ................................................................................... 78

数据分析：纵向

.............................................................. 83

构建软件安全模型 ......................................................................... 83

第一次和第二次评估之间的变化 ........................................................ 84

第一次和第三次评估之间的变化 ........................................................ 86

数据分析：卫星

（安全

冠军）

.................................................................... 88

数据分析：

..............................................................

SSG90

SSG

特征 ..................................................................................... 90

基于年龄的SSG变化…………………………………………………………….. 92

执行

摘要

2008年，应用程序安全、研究和分析专家开始收集有关组织应对软

件安全挑战的不同途径的数据。他们的目标是对已知在软件安全计

划（SSI）方面非常有效的组织进行面对面采访，收集他们的工作细

节，分析数据，并公布他们的发现以帮助他人。

其结果是构建成熟度安全模型（BSIMM），这是一个描述性模型，以

BSIMM1的形式发布，为SSI在软件和软件开发中构建安全性提供了观

察到的活动（即控制）的基线。由于这些计划通常使用不同的方法和

术语，BSIMM还创建了一个每个人都可以使用的通用词汇表。此外，

BSIMM提供了一种通用方法，用于在任何垂直市场中启动和改进任何

规模的SSI。

自2009年BSIMM1以来，我们一直是人员、流程、技术、文化、合规

性、数字化转型等领域安全计划变化的早期记者。欢迎收看BSIMM14

报告，并感谢您的阅读。

欢迎来到BSIMM14

每个BSIMM年度报告都是研究真实世界SSI的结果，许多组织将其称

为应用程序或产品安全计划或DevSecOps工作。每年，不同垂直行业

的各种公司都会使用BSIMM为其项目创建软件安全记分卡，然后使用

该记分卡来告知SSI的改进情况。在这里，我们展示了直接根据我们

在130家公司中观察到的数据构建的BSIMM14。

在快速变化的软件安全领域，了解其他组织在其SSI中做了什么是很重

要的事。将100多家公司的努力与您自己的公司进行比较，将直接为您

的改进和增长战略提供信息。

BSIMM的核心知识是我们在参与者身上直接观察到的活动——将

BSIMM作为SSI管理的一部分的公司群体。每个参与者都有自己独特

的SSI，强调对其业务目标很重要的活动中的建筑安全，但他们共同

使用此处捕获的活动。我们将这些核心知识组织到软件安全框架

（SSF）中，如第5部分所示。SSF包括四个领域——治理、情报、

SSDL触点和部署——这些领域目前由126个活动组成。例如，治理领

域包括属于SSI的组织、管理和测量工作范围内的活动。

从高管的角度来看，您可以将BSIMM活动视为预防性、检测性、纠正性

或补偿性控制在软件安全风险管理框架中实现。将这些活动定位为控

制，可以让治理、风险、合规、法律、审计和其他执行管理小组更容

易地了解BSIMM的价值。

与任何研究工作一样，BSIMM中有一些术语具有特定含义。下面的框内

列出了最常见的BSIMM术语。

BSIMM术语

术语一直是计算机安全中的一个问题，软件安全也不例外。

BSIMM中使用的几个术语对我们有特殊意义，以下列表突出了本

文档中使用的一些最重要的术语：

⚫ 活动SSG作为实践的一部分而实施或促成的行动或努力。根据

观察率，活动在BSIMM中分为三个级别。

⚫ 能力。一组跨一个或多个实践的BSIMM活动，协同工作以提供

内聚的安全功能。

⚫ 组织者。一群对软件安全感兴趣并参与其中的开发人员、云安

全工程师、部署工程师、架构师、软件经理、测试人员或类似

职位的人员，他们对软件安全有着积极的兴趣，并为组织及其

软件的安全态势做出贡献。

⚫ 数据池。从当前参与者那里收集评估数据。

⚫ 领域。该框架分为四类之一，即治理、情报、SSDL触点和部

署。

⚫ 参与者。当前数据池中的企业成员。

⚫ 实践。一组BSIMM活动。SSF分为12个实践，四个领域各有三

个。

⚫ 安全责任人。由SSG组织和利用的一个人，通常被称为安全主

管。

⚫ 安全SDL（SSDL）。任何具有集成软件安全检查点和活动的软

件生命周期。

⚫ 软件安全框架（SSF）。BSIMM的基本结构，包括分为四个领域

的12个实践。

⚫ 软件安全组（SSG）。负责执行和促进软件安全的内部小组。

组的名称也可能具有适当的组织重点，例如应用程序安全组或

产品安全组。

⚫ 软件安全倡议（SSI）。一个组织范围的程序，以协调的方式灌

输、测量、管理和发展软件安全活动。在一些组织中也称为应

用程序安全程序、产品安全程序，或者可能称为DevSecOps程

序。

假如您是一位SSL主管，理解BSIMM和商业伙伴使用BSIMM将帮

助您增加战略改进.假如您是一位技术专家，您能使用BSIMM引

导安全活动（4部分和6部分），帮助团队提升人员、过程、技

术和文化。

剩余94页未读，继续阅读

评论收藏

内容反馈

manok

粉丝: 2386
资源: 20

2023年12月初，新思科技发布了BSIMM 14 从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化

最新资源

2023年12月初，新思科技发布了BSIMM 14 从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化

新思方案测试软件操作说明

新思科技全新嵌入式视觉处理器为人工智能芯片提供领先性能.pdf

2021年7月跟踪，芯片IP产业深度梳理：芯原股份VS新思科技（美）.pdf

新思微管理软件

新思科技全新嵌入式视觉处理器IP核为人工智能芯片提供业界领先的35 TOPS性能.pdf

新思开发软件介绍

新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布.pdf

新思科技推出ARC VPX DSP处理器IP核.pdf

Graphcore采用新思科技Design Platform设计Colossus芯片.pdf

新思科技推出综合电动汽车虚拟原型解决方案.pdf

新思vmm7100 Datasheet 规格书.pdf

新思科技与Kudan携手 加速智能计算机视觉处理芯片开发.pdf

新思科技力助炬力集团推平板电脑用多核处理器.pdf

新思科技VDK工具包缩短ARM 64位处理器开发周期.pdf

AImotive部署新思科技VCS 验证其下一代自动驾驶技术.pdf

新思科技为下一代AI芯片设计推出Platform Architect Ultra.pdf

Graphcore采用新思科技Design Platform设计Colossus芯片，加速AI计算.pdf

新思科技推出Platform Architect Ultra满足下一代AI芯片设计需求.pdf

相关实用应用程序（Windows可用）

免费可用的ChatGPT网页版.zip

ChatGPT使用总结：150个ChatGPT提示词模板（完整版）

chromedriver-win64.zip

全国计算机二级WPSoffice精选350道选择题题库（含答案）.pdf

哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf

HAI-2024斯坦福AI指数报告（中文译版）.pdf

2023泛娱乐社交出海手册-ZEGO即构科技

4个亲测好用的ChatGPT4渠道

毕业设计的概要介绍与分析

最新资源

新思科技与Kudan携手加速智能计算机视觉处理芯片开发.pdf