提及软件安全,其实它并不只是一组安全功能,更不应该是在软件开发完之后再迭代上去的一些功能,而应该是设计在软件本身里面。所以在软件开发之初就应该考虑到如何兼顾软件安全的功能性和非功能性。对此,新思科技做过整个缺陷和漏洞的占比分析,结果是各占50%。
所谓缺陷和漏洞,漏洞就是指在编码的过程中,由于人为的能力有限或者疏忽,产生的一些coding层面的一些bug; 而缺陷指的是在设计的阶段,业务逻辑就没设计好,或者说选用了一些不安全的中间件、不安全的组件,导致开发之初就有问题。所以,漏洞和缺陷占比为50%。新思科技希望,开发者在做软件开发时,能够把安全性放到和质量、性能等等特质一样的位置上。
当面临到,DevOps CI/CD加快软件开发进度和软件发布进度的趋势之时,很多开发者会认为这是导致出现安全问题的一些原因。但是新思科技软件质量与安全部门高级安全架构师杨国梁接受采访时表示:“CI/CD加快软件开发进度既不是软件不安全的原因,同时更不应该是安全的单一的解决方案。”
新思科技在最新发布的软件安全构建成熟度模型BSIMM10中指出,DevOps对软件安全的影响:BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出,新的活动反映了公司如何积极致力使安全活动自动化,来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例,以反映这些活动如何作为现代DevOps组织实施的一部分。
据悉,BSIMM10代表的公司来自垂直行业,包括金融服务、高科技、独立软件供应商(ISVs),云、医疗保健、物联 、保险及零售业。BSIMM模型旨在帮助企业规划、执行、完善和评估其软件安全计划(SSIs)。在过去的十年里,新思科技采用BSIMM对185家公司进行了约450次评估,而最新发布的第十个版本BSIMM10,反应了观察到的122家公司的软件安全活动,并且描述了7,900名软件安全专家的工作成果,这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!