没有合适的资源?快使用搜索试试~ 我知道了~
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
需积分: 5 3 下载量 127 浏览量
2023-12-19
12:23:39
上传
评论
收藏 3.31MB PDF 举报
温馨提示
试读
95页
2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。这个资源是翻译的全部资料,需要的请下载。
资源推荐
资源详情
资源评论
2023年度报告
翻译:manok
2
目录
1
部分:执行摘要
............................................. 4
访问BSIMM14……………………………………………………………….5
BSIMM14
数据指示灯
........................................................................ 6
趋势与见解综述
................................................................................. 7
软件安全如何变化 .................................................... 7
扩展安全范围 .......................................................... 7
谁拥有安全 ............................................................ 8
软件安全中的重要决策 ............................................... 8
行动呼吁 ........................................................................................ 9
计划您的旅程 .......................................................... 9
掌握你所拥有的 ....................................................... 9
进行正确的投资 ....................................................... 9
bsim骨架..................................................................................... 10
第2部分:趋势和见解……………………………………………………. 12
随时随地转换的演变……………………………………………………. 13
集成工具 .............................................................. 13
治理和自动化 ......................................................... 13
安全接触点 ........................................................... 13
启用人员 .............................................................. 14
软件供应链风险管理
......................................................................... 14
软件材料清单(SBOM) ............................................. 14
开源风险管理 ......................................................... 14
供应商管理和定制软件 .............................................. 14
产品安全和应用程序
安全 .................................................................. 14
将产品运送到危险环境…………………………………………………14
不断增长的“产品安全计划”代表 .................................... 15
安全启用码
.....................................................................................
15
安全冠军 .............................................................. 15
云架构 ................................................................. 15
安全经济学
....................................................................................
15
我们正在关注的主题 ....................................................................... 15
第
3
部分:
bsim
参与者
…………………………………………………….16
参与者 ......................................................................................... 17
第
4
部分:快速指南
至
SSI
成熟
................................................... 19
SSI
排行榜的基准
............................................................................ 20
您的SSI是否与时俱进
在您的软件组合中? ................................................ 20
你在创造你需要的DevSecOps文化吗?………………………20
你在到处转移安保工作吗
在工程生命周期中? ................................................. 20
你的
SSI
如何衡量?
……………………………………………………..
20
使用bsim记分卡取得进展 ............................................................... 20
了解您的组织任务 ................................................... 21
建立记分卡 ........................................................... 21
制定战略计划并执行 ................................................ 21
第
5
部分:
bsim
框架
…………………………………………………………..24
核心知识 ...................................................................................... 25
了解模型
....................................................................................... 26
第
6
部分:
bsim
活动
……………………………………………………………27
BSIMM28
中
的
活动
治理............................................................................................ 28
治理:战略与指标(SM) ........................................... 28
治理:合规与政策(CP) ........................................... 30
治理:培训(T) .................................................... 32
智能............................................................................................ 34
情报:攻击模型(AM) ............................................. 34
智能:安全特性与设计(SFD) ..................................... 36
情报:标准与要求(SR) ........................................... 37
SDLC接触点 ................................................................................ 39
SDLC接触点:体系结构分析(AA) ................................ 39
SDLC接触点:代码审查(CR) ..................................... 40
SDLC接触点:安全测试(ST) ..................................... 42
部署............................................................................................ 44
部署:渗透测试(PT) .............................................. 44
部署:软件环境(SE) .............................................. 45
部署:配置管理&
漏洞管理(CMVM) .................................................. 46
3
附件 ........................................................... 49
软件安全倡议中
的
角色
………………………………………………………..50
高管
领导 .......................................................................................50
软件
安全
小组组长
..........................................................................51
软件
安
全组(
SSG
)
........................................................................52
安全冠军(卫星)
............................................................................52
关键
利益相关者
..............................................................................53
A.
如何构建或升级SSI54
参与者的
建筑
经验教训
………………………………………………………….54
文化.................................................................... 55
工程文化的新浪潮 .................................................... 55
了解更多关于DevOps56
作为目标的融合…………………………………………………………..56
对于一个新兴的SSI:SDLC到SSDL ....................................................57
创建软件安全组 ...................................................... 58
SSDL文件化和社会化……………………………………..58
库存应用程序 ......................................................... 58
应用基础设施安全 .................................................... 59
部署缺陷发现 ......................................................... 59
管理发现的缺陷 ...................................................... 59
发布和推广流程 ...................................................... 59
迈向旅程的下一步 .................................................... 59
一个成熟的SSI:协调目标 ...............................................................60
统一结构,巩固工作 ................................................. 60
展开安全控制 ......................................................... 60
参与开发 .............................................................. 61
清点和选择范围内软件 ............................................... 61
随时随地实施安全基础知识…………………………………………61
集成缺陷发现和预防 ................................................. 62
升级事件响应 ......................................................... 62
重复和改进 ............................................................ 62
实现SSI:数据驱动的改进 ...............................................................62
进步不是一条直线 .................................................... 62
推动敏捷友好SSIs……………………………………………………………………….63
bsim框架的
详细视图 64
bsim骨架 .................................................................................... 64
从
BSIMM1364
创建
BSIMM14
模型随时间变化 ............................................................................. 68
B.
数据:BSIMM14……………………………………………………….71
基于年龄的程序更改 ....................................................................... 71
活动随时间变化
...............................................................................
73
C.
数据分析:
垂直 ...............................................................
75
物联网、云和ISV垂直 ..................................................................... 76
金融、医疗保健和保险
垂直
领域
......................................................... 76
金融和技术垂直领域 ....................................................................... 77
技术与非技术 ................................................................................ 78
垂直
记分卡 ................................................................................... 78
D.
数据分析:纵向
.............................................................. 83
构建软件安全模型 ......................................................................... 83
第一次和第二次评估之间的变化 ........................................................ 84
第一次和第三次评估之间的变化 ........................................................ 86
E.
数据分析:卫星
(安全
冠军)
.................................................................... 88
F.
数据分析:
..............................................................
SSG90
SSG
特征 ..................................................................................... 90
基于年龄的SSG变化…………………………………………………………….. 92
第一部分:
执行摘要
4.
5
执行
摘要
2008年,应用程序安全、研究和分析专家开始收集有关组织应对软
件安全挑战的不同途径的数据。他们的目标是对已知在软件安全计
划(SSI)方面非常有效的组织进行面对面采访,收集他们的工作细
节,分析数据,并公布他们的发现以帮助他人。
其结果是构建成熟度安全模型(BSIMM),这是一个描述性模型,以
BSIMM1的形式发布,为SSI在软件和软件开发中构建安全性提供了观
察到的活动(即控制)的基线。由于这些计划通常使用不同的方法和
术语,BSIMM还创建了一个每个人都可以使用的通用词汇表。此外,
BSIMM提供了一种通用方法,用于在任何垂直市场中启动和改进任何
规模的SSI。
自2009年BSIMM1以来,我们一直是人员、流程、技术、文化、合规
性、数字化转型等领域安全计划变化的早期记者。欢迎收看BSIMM14
报告,并感谢您的阅读。
欢迎来到BSIMM14
每个BSIMM年度报告都是研究真实世界SSI的结果,许多组织将其称
为应用程序或产品安全计划或DevSecOps工作。每年,不同垂直行业
的各种公司都会使用BSIMM为其项目创建软件安全记分卡,然后使用
该记分卡来告知SSI的改进情况。在这里,我们展示了直接根据我们
在130家公司中观察到的数据构建的BSIMM14。
在快速变化的软件安全领域,了解其他组织在其SSI中做了什么是很重
要的事。将100多家公司的努力与您自己的公司进行比较,将直接为您
的改进和增长战略提供信息。
BSIMM的核心知识是我们在参与者身上直接观察到的活动——将
BSIMM作为SSI管理的一部分的公司群体。每个参与者都有自己独特
的SSI,强调对其业务目标很重要的活动中的建筑安全,但他们共同
使用此处捕获的活动。我们将这些核心知识组织到软件安全框架
(SSF)中,如第5部分所示。SSF包括四个领域——治理、情报、
SSDL触点和部署——这些领域目前由126个活动组成。例如,治理领
域包括属于SSI的组织、管理和测量工作范围内的活动。
从高管的角度来看,您可以将BSIMM活动视为预防性、检测性、纠正性
或补偿性控制在软件安全风险管理框架中实现。将这些活动定位为控
制,可以让治理、风险、合规、法律、审计和其他执行管理小组更容
易地了解BSIMM的价值。
与任何研究工作一样,BSIMM中有一些术语具有特定含义。下面的框内
列出了最常见的BSIMM术语。
BSIMM术语
术语一直是计算机安全中的一个问题,软件安全也不例外。
BSIMM中使用的几个术语对我们有特殊意义,以下列表突出了本
文档中使用的一些最重要的术语:
⚫ 活动SSG作为实践的一部分而实施或促成的行动或努力。根据
观察率,活动在BSIMM中分为三个级别。
⚫ 能力。一组跨一个或多个实践的BSIMM活动,协同工作以提供
内聚的安全功能。
⚫ 组织者。一群对软件安全感兴趣并参与其中的开发人员、云安
全工程师、部署工程师、架构师、软件经理、测试人员或类似
职位的人员,他们对软件安全有着积极的兴趣,并为组织及其
软件的安全态势做出贡献。
⚫ 数据池。从当前参与者那里收集评估数据。
⚫ 领域。该框架分为四类之一,即治理、情报、SSDL触点和部
署。
⚫ 参与者。当前数据池中的企业成员。
⚫ 实践。一组BSIMM活动。SSF分为12个实践,四个领域各有三
个。
⚫ 安全责任人。由SSG组织和利用的一个人,通常被称为安全主
管。
⚫ 安全SDL(SSDL)。任何具有集成软件安全检查点和活动的软
件生命周期。
⚫ 软件安全框架(SSF)。BSIMM的基本结构,包括分为四个领域
的12个实践。
⚫ 软件安全组(SSG)。负责执行和促进软件安全的内部小组。
组的名称也可能具有适当的组织重点,例如应用程序安全组或
产品安全组。
⚫ 软件安全倡议(SSI)。一个组织范围的程序,以协调的方式灌
输、测量、管理和发展软件安全活动。在一些组织中也称为应
用程序安全程序、产品安全程序,或者可能称为DevSecOps程
序。
假如您是一位SSL主管,理解BSIMM和商业伙伴使用BSIMM将帮
助您增加战略改进.假如您是一位技术专家,您能使用BSIMM引
导安全活动(4部分和6部分),帮助团队提升人员、过程、技
术和文化。
剩余94页未读,继续阅读
资源评论
manok
- 粉丝: 2386
- 资源: 20
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 南京邮电大学数学实验:熟练掌握 Matlab 软件的基本命令和操作
- 2017校招真题校园招聘真题算法题(37道)Python源码.zip
- 基于单片机protues仿真的多功能自动饮水机系统设计(仿真图、源代码、演示视频)
- 二叉树7-1-1.cpp
- android 9.0 原生模拟器 签名文件
- 技术面试最后反问面试官的话 校招面试非技术问题有哪些 非技术问题如何回答.png
- NB-IOT-BC26全网通模块Altium+ CADENCE +PADS三种格式(原理图SCH+PCB封装库)文件.zip
- 基于微信小程序开发的校园失物招领系统源码毕业设计(优质项目源码).zip
- 词向量是一种将自然语言中的单词转换为数值向量的技术,它能够捕捉词义和上下文信息
- nmap与masscan的简单使用
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功