核心观点
BSIMM16 研报分析了 111 家不同行业的公司软件安全计划(SSI),揭示了软件安全领域的最新趋势和洞察。报告核心观点包括:
- AI/ML 重塑应用安全优先事项:AI 和机器学习(ML)技术的快速发展,正在改变应用安全优先事项。公司需要为开发者使用 AI/ML 技术做好准备,并采取措施应对由此带来的新威胁。
- 满足政府监管要求:政府对软件安全的监管压力不断增大,公司需要采取措施满足这些要求。报告观察到,创建软件物料清单(SBOM)和自动化基础设施安全验证等活动正在快速增长。
- 软件安全培训正在演变:传统的课堂培训正在衰落,取而代之的是即时培训方法,例如通过开放协作渠道提供专家知识和针对特定需求的简短培训。
- 技术解决方案满足监管要求:公司倾向于采用自动化解决方案来满足监管要求,例如自动化基础设施安全验证和 SBOM 生成。
- 建立流程以满足监管要求:政府监管要求公司建立更好的风险管理和沟通流程。报告观察到,定期渗透测试和简化漏洞披露流程等活动正在快速增长。
- 解决文档问题:政府监管要求公司创建大量文档,报告观察到,创建软件合规性故事等活动正在快速增长。
- 软件安全培训正在演变:传统的课堂培训正在衰落,取而代之的是即时培训方法,例如通过开放协作渠道提供专家知识和针对特定需求的简短培训。
关键数据
- 参与研究的公司数量从 2008 年的 9 家增加到 2026 年的 111 家。
- 平均 SSI 年龄为 5.6 年,但 SSI 项目显示出持续增长的趋势。
- 12 个实践领域包含 128 个活动,涵盖了治理、情报、SDLC 触点和部署等方面。
- “Top 10” 活动观察率最高,例如创建或接口与事件响应、实施安全检查点和相关治理、确保主机和网络安全基础等。
- 最快增长的活动包括简化漏洞披露、保护开发工具链完整性、通过开放协作渠道提供专业知识等。
研究结论
- 公司需要定期评估其 SSI,并根据 BSIMM 框架进行改进。
- 公司需要为 AI/ML 技术的采用做好准备,并采取措施应对由此带来的新威胁。
- 公司需要满足政府监管要求,并建立更好的风险管理和沟通流程。
- 软件安全培训需要适应不断变化的行业需求。
- 公司需要采用自动化解决方案来提高效率和满足监管要求。
- 公司需要加强与工程团队的协作,并将安全融入到软件开发生命周期中。
建议
- 评估您的 SSI,并创建一个 SSI 评分卡,以了解您的成熟度水平。
- 制定一个愿景和战略计划,以改进您的 SSI。
- 自动化尽可能多的流程,以减少手动工作并提高效率。
- 收集所有数据,并使用它来驱动改进。
- 在数字转型、软件供应链安全和软件安全邻域等方面进行创新。
- 推动敏捷友好的 SSI,以适应现代软件交付实践。
- 建立数据驱动的治理模式,以衡量和改进您的 SSI。
