BSIMM14 报告: 对主要软件全目的分析

2023年报告 TABLEOFCONTENTS 第4部分:快速指南至SSI到期日19 PART 1: EXECUTIVE SUMMARY 4 欢迎来到BSIMM145BSIMM14数据亮点6 SSI领导者的基线20 你的SSI是否保持着变化的步伐在您的软件组合中？....................................................................20您是否正在创建所需的DevSecOps文化？20您是否正在将安全工作转移到任何地方在工程生命周期?..........................................................................20您的SSI如何衡量？20 趋势和见解摘要7 软件安全性如何变化7扩展安全范围..............................................................7谁拥有安全8软件安全中的重要决策8 呼吁采取行动9 使用BSIMM记分卡取得进展20 计划你的旅程9掌握你所拥有的东西9做出正确的投资9 了解您的组织Mandate...................................................................21构建记分卡................................................................................21制定战略计划并执行21 BSIMM骨架10 PART 5: THE BSIMM FRAMEWORK 24 PART 2: TRENDS AND INSIGHTS 12 核心知识25了解模型26 到处转移的演变13集成工具13治理与自动化13安全接触点13启用人员14 PART 6: THE BSIMM ACTIVITIES 27 BSIMM的活动28 治理28 软件供应链风险管理14 治理：战略和指标(SM).................................................................28治理：合规与政策(CP).................................................................30治理：培训(T)...........................................................................32 软件材料清单(SBOM) 14开源风险管理14供应商管理和定制软件14 智力34 产品安全性和应用程序安全性14将产品运送到危险环境14不断增长的“产品安全计划”代表15 情报：攻击模型(AM)...................................................................34智能：安全功能&设计(SFD)..........................................................36智能：标准和要求(SR).................................................................37 安全保证15安全冠军15云架构15 SDLC接触点39 SDLCTouchpoints:体系结构分析(AA).................................................39SDLC Touchpoints: Code Review (CR) 40SDLC接触点：安全测试(ST) 42 安全经济学15我们正在观看的主题15 部署.................................................................................................................44 部署:渗透测试(PT)......................................................................44部署:软件环境(SE).......................................................................45部署:配置管理和漏洞管理(CMVM) .....................................................................46 PART 3: BSIMM PARTICIPANTS 16 参与者17 从BSIMM13创建BSIMM1464模型随时间的变化68 附录49 A. E. B. 垂直记分卡78 F. 对于紧急SSI：SDLC到SSDL57 第一次和第二次评估之间的变化84 对于成熟的SSI：协调目标60展开“安全控制” 60 对于允许的SSI：数据驱动的改进62推动敏捷友好型SSIs 63 C.......................................................................................... PART 1:执行摘要 从高管的角度来看，您可以将BSIMM活动视为预防性、侦查性、纠正性或补偿性控制 执行摘要 在软件安全风险管理框架中实施。将活动定位为控件，可以通过治理，风险，合规性，法律，审计和其他执行管理小组更轻松地了解BSIMM的价值。 2008年，应用程序安全、研究和分析专家着手收集组织为应对软件安全挑战而采取的不同途径的数据。他们的目标是 与那些在软件安全计划(SSIs)方面非常有效的组织进行面对面的访谈，收集他们努力的细节，分析数据，并发布他们的发现以帮助他人。 与任何研究工作一样，BSIMM中有一些术语具有特定含义。下面的方框显示了最常见的BSIMM术语。 结果是建筑物成熟度模型（BSIMM），这是一个描述性模型-发布为BSIMM1 -提供了观察到的活动的基线（i。Procedres.，控件)，用于将安全性构建到软件和软件开发中。由于这些计划通常使用不同的方法和不同的术语，因此BSIMM还创建了每个人都可以使用的通用词汇。此外，BSIMM提供了一种通用方法，用于启动和改进任何规模和任何垂直市场的SSI。 BSIMM术语 命名法一直是计算机安全中的一个问题，软件安全也不例外。BSIMM中使用的几个术语对我们有特殊的意义。以下列表突出了本文档中使用的一些最重要的术语: 自2009年BSIMM1以来，我们一直是关于人员、流程、技术、文化、合规性、数字化转型等安全计划变更的早期记者。欢迎收看BSIMM14报告，感谢您的阅读。 •活动。作为实践的一部分，由SSG执行或促进的行动或努力。根据观察率，BSIMM中的活动分为三个级别。•能力。一组BSIMM活动，跨越一个或多个实践，共同服务于内聚的安全功能。•冠军。一群对软件安全有积极兴趣并为组织及其软件的安全状况做出贡献的有兴趣和参与的开发人员，云安全工程师，部署工程师，架构师，软件经理，测试人员或类似角色的人员。•数据池。从当前参与者收集评估数据。•域。框架分为四个类别之一，即治理，智能，SSDL接触点和部署。•参与者。当前数据池中的一组公司。•实践。BSIMM活动的分组。SSF分为12个实践，四个领域中的每个领域中的三个。•卫星。由SSG组织和利用的一组个人，通常称为安全冠军。•安全SDL (SSDL)。具有集成软件安全检查点和活动的任何软件生命周期。•软件安全框架(SSF)。BSIMM的基本结构，包括12个实践，分为四个领域。•软件安全组(SSG)。负责执行和促进软件安全性的内部组。该组的名称也可能具有适当的组织重点，例如应用程序安全组或产品安全组。•软件安全计划(SSI)。组织范围内的计划，以协调的方式灌输，测量，管理和发展软件安全活动。在某些组织中也称为应用程序安全计划，产品安全计划或DevSecOps计划。 欢迎来到BSIMM14 如果您负责SSI，了解BSIMM及其参与者的使用将有助于您计划战略改进。如果您正在运行计划的技术方面，则可以使用操作指南（在第4部分中）和活动描述（在第6部分中），以帮助定义对人员，流程，技术和文化的战术改进。 每个BSIMM年度报告都是研究现实世界的SSI的结果，许多组织将其称为其应用程序或产品安全计划或其DevSecOps工作。每年，不同行业垂直领域的各种公司都会使用BSIMM为其程序创建软件安全记分卡，然后使用该记分卡来告知其SSI改进。在这里，我们展示了BSIMM14，它是直接基于我们在130家公司中观察到的数据构建的。 在瞬息万变的软件安全领域，了解其他组织在其SSI中所做的工作非常重要。将100多家公司的努力与您自己的公司进行比较，将直接为您的改进和增长策略提供信息。 BSIMM核心知识是我们在参与者中直接观察到的活动-使用BSIMM作为其SSI管理一部分的公司集团。每个参与者都有自己独特的SSI，重点是在对其业务目标重要的活动中建立安全性，但他们共同使用此处捕获的活动。我们将核心知识组织到软件中 安全框架(SSF)，如第5部分所示。SSF包括四个域-治理、智能、SSDL接触点和部署-这些域目前由126个活动组成。例如，治理域包括属于SSI的组织、管理和测量工作的活动。 在观察计数中。请注意，对于表2中的某些活动，观察值的增长是相对较新的变化。例如，该活动有一个研究小组开发新的攻击方法，从BSIMM9-BSIMM12几乎没有增长，但在BSIMM13的观察率显着上升，而BSIMM14继续攀升。两年的增长表明变化是有意义的，这些活动值得为您的计划考虑。 BSIMM14数据亮点 使用本节中的信息来回答有关BSIMM数据的常见问题，例如“一些数据池统计数据是什么？”，“大多数公司都在做哪些活动？”和“软件安全工作如何随着时间的推移而变化？” 在BSIMM13中，我们报告了随着时间的推移在实施安全检查站和跟踪异常活动方面几乎没有变化的新增长。随着公司能够利用开发管道中的现代自动化选项，BSIMM14中的这一活动继续增长。 注：斜体绿色项目是指第6部分中的特定BSIMM活动。 Intheotherdirection,inBSIMM13,wereportedthatthehaveSSGleaddesignreviewefforts activity see continued growth for years but then decreasedsignificantlyforBSIMM13.InBSIMM14,this 下降已经纠正，今年观测值略有增长。 活动是BSIMM的构建块，BSIMM是跨组织实现的最小粒度单位，用于构建SSI。BSIMM的目的不是指定一组规定性活动，而是描述性地观察和量化许多组织中各种SSI执行的实际活动。 BSIMM是一个观察模型，它反映了当前的软件安全工作，因此我们每年对其进行调整以使其保持最新。对于BSIMM14，我们根据我们在BSIMM数据池中看到的内容对模型进行了以下更改： •我们通过开放的协作渠道转移了提供专业知识的活动，拥有一个研究小组，开发新的攻击方法，监控自动资产创建，识别开源，并通过修复过程跟踪操作中发现的软件缺陷，因为我们现在更频繁地看到它们。 •我们移动了活动，创建了特定于技术的攻击模式，并维护和使用了前N个可能的攻击列表，因为它们的增长速度不如其实践领域的其他常见活动快。•我们添加了保护开发工具链完整性的活动因为我们开始看到更多。 BSIMM项目在软件安全行业中独树一帜，已从200