主办单位:中国物品编码中心 | 中国自动识别技术协会 | 《中国自动识别技术》杂志社

设为首页 | 加入收藏 | 关于我们

  高端访谈  正文

新思科技:掀起“安全性”浪潮

新思科技软件质量与安全部门管理顾问Olli Jarva 新思科技软件质量与安全部门高级安全架构师杨国梁

发布时间:2019年01月14日 来源:中国自动识别网 作者:郑昱

导语: 新思科技软件质量与安全部门(以下简称新思科技)管理顾问Olli Jarva指出:“在大部分人的印象中,安全就是加密、防护等功能,其实安全远不止这些。有关安全,没有任何神奇的功能可以一蹴而就,一下子就能把安全问题解决掉。软件...
          
新思科技软件质量与安全部门(以下简称新思科技)管理顾问Olli Jarva指出:“在大部分人的印象中,安全就是加密、防护等功能,其实安全远不止这些。有关安全,没有任何神奇的功能可以一蹴而就,一下子就能把安全问题解决掉。软件的安全,需要全生命周期的投入,才是真正落实安全。”
新思科技管理顾问Olli Jarva、高级安全架构师杨国梁在新思科技构建成熟度模型BSIMM9的新闻发布会上,一再强调,“安全是财产而不是杂物,所以软件安全涉及的内容远远不止于简单地在软件中添加 SSL或密码等功能。执行软件安全计划需要专业的人士以及内部多个部门的配合,在构建软件时牢记安全,保护软件就会变得更加容易。与此同时,企业也需要打开眼界,取长补短,这样可以更有效地确保其软件安全计划朝着正确的方向进行。参照同行及跨行业的真实数据是一种行之有效的方法。”
 
保有数据新鲜度是安全评估的关键
Olli Jarva介绍道,2006年,“应该如何去做”(how to)的理念发生了转变。“how to”是一个指导性的方案。一些比较大的企业在执行软件安全计划的时候会参考一些指导性的模型,比如微软SDL、新思科技Synopsys Touchpoints等。它们有一个共性,告诉你怎么去做,应该怎么做。但BSIMM有所不同,它是一个评估软件,是方法论,把观察到的东西告诉你,方便客户作对比,也能参考企业做的活动,是对事实和数据的陈述。
数据模型有两种:一种是规定性的;一种是描述性的。规定性模型包括SAFECode、SAMM等,每家公司都有自己的一套方案,通常是混合了不同的方法;描述性模型就是描述实际在发生什么。
BSIMM到2018年是第十个年头,用来评估企业软件信息安全、生产软件的流程,衡量其在安全方面的成熟度。目前,BSIMM评估了全世界167家公司,现在演进到第九个版本。采用BSIMM可以对比内部的软件安全计划,也能和同行业以及跨行业的活动进行对比,从而得知企业的安全计划处于哪个水平,进而采取改进计划。
BSIMM9描述了7,800多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。
参与BSIMM9评估的公司有120家,为什么不是所有的167家公司呢。比如36个月即三年之前做的评估,可能对于现在的一些安全趋势来说并不具备代表性,所以为了让我们的数据模型能够更好地符合当前的安全趋势,更好地表述出当前的安全趋势,保持数据的新鲜度,因为这里面有一个数据新鲜度的概念。当一个公司超过36个月没有被评估的时候,我们就会把它给移除出去。BSIMM8有109家公司,BSIMM9有120家。剔除了几家BSIMM8的公司,新加了将近20家进入BSIMM9。已经进行了389次独立评估,每次评估都有面对面的对谈,维持大约一周的评估。有一些情况是,一家公司会针对不同产品线开展多次评估。BSIMM9所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。
 
实际数据推动是安全评估的趋势
杨国梁强调:“BSIMM模型本身是开放的。即使不是新思科技的客户也不会影响评估的结果。新思科技只是BSIMM模型的维护者、数据收集/分析者。评估师都是经过认证的,进行中立客观的评估。”
一款开放的软件安全模型,最为重要的就是通过提供实际数据,制定一份长期计划,并跟踪计划进度。“企业可以利用这些实际数据改善自身的软件安全计划。这样的软件安全计划才能经得起业绩目标的考验。”
BSIMM9对企业实际行为的描述和评估,有了一些新的发现:3项新的BSIMM活动表明,云端软件安全正在成为主流;在独立软件供应商、物联网公司和云计算公司所观察到的软件安全活动已经开始趋同;这表明通用云架构需要类似的软件安全方法。正如甲骨文公司旗下云ERP系统NetSuite基础设施和安全高级副总裁Brian Chess所说:“开发、安全和运营团队需要步调一致,BSIMM9提供的数据表明这是通过自动化进行的,特别是当软件迁移到云端时。这是朝着正确方向迈出的巨大一步,可同时提高速度和安全性。”
参与BSIMM9评估的公司涉及不同的行业,包括金融、高科技、云计算,今年又有了新的垂直行业——零售业。随着电子商务的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的成熟速度相对更快一些。
BSIMM9还增加了3项新活动:对容器和虚拟化环境使用编排功能。企业可以采用自动化功能以规范的方式来扩展容器和虚拟机部署。编排流程可以利用内置的和附加的安全控件来确保每个已部署的容器和虚拟机都满足预先规定的安全要求。集中设置安全性行为有助于在需求出现时进行快速更改;通过运营物料清单来管理应用库存盘点。应用列表以及应用在生产环境中的位置对于任何运行良好的企业而言都是基本信息。此外,还应当为所有生产软件制作一份清单,说明其组件、依赖关系、配置、外部服务等,有助于企业保护其所有内容。随着攻击者和攻击的演变,随着合规性要求的变化,随着待修补项目的数量不断增大,能够敏捷地做出反应。了解正在运行的软件中的所有组件,无论它们是处于私有数据中心或者处于云端还是作为即销产品,都将能够在麻烦事情发生时及时做出响应;确保具备云安全性基础能力。在日益“由软件定义”的世界中,必须明确地实施安全性功能和控件(其中有一些可能是内置的),其程度应当与电缆和物理硬件建设的安全性程度不相上下。没有什么东西会真的像它显现出的自动化那么美好。
软件的安全性,是深度的,全生命周期的。新思科技携BSIMM9面向即将到来的2019年,意味着在软件安全的世界里,会有更卓越的表现,让我们拭目以待……
《中国自动识别技术》2018年第6期总第75期

延伸阅读:

声明:

    凡本网注明“来源:中国自动识别网、《中国自动识别技术》、《条码与信息系统》”的所有作品,版权均属于中国自动识别网、《中国自动识别技术》、《条码与信息系统》, 未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国自动识别网、《中国自动识别技术》或《条码与信息系统》”。违反上述声明者,本网将追究其相关法律责任。
    凡本网注明“来源:XXX(非中国自动识别网、《中国自动识别技术》、《条码与信息系统》)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。 如因作品内容、版权和其他问题需要同本网联系的,请将内容传真至010-84295675,以便本网尽快处理。

高端访谈 更多>>
商品二维码 全球商品通用...
王毅 研究员、中国物品编码中心技术部副主任兼二维码研究室主任,国际自动识别与数据采集技术分委会(ISO/IEC JTC 1/...
物品身份及其编码的本质
张成海 中国物品编码中心主任、中国ECR委员会联合主席、国际物品编码组织(GS1)管理委员会委员及顾问委员会委员、全...
推进我国二维码标准化应...
王毅,中国物品编码中心二维码研究室主任,技术部副主任,研究员,国际自动识别与数据采集技术分委会(ISO/IEC JTC1/S...
AVEVA剑维软件: 信息和智...
数据是数字化转型的关键因素,是企业的重要资产。
杂志专区 更多>>

《2023第6期》

《2024第1期》