对话新思科技：软件安全应贯穿SDLC 如何用好BSIMM这把量尺？

C114讯 11月8日专稿（艾斯）本月初，美国新思科技公司（Synopsys）发布了其最新版本的软件安全构建成熟度模型—BSIMM8。据悉，BSIMM基于对100多家全球企业调研的真实数据，是一个测量和评估软件安全计划(SSI)的工具。这是BSIMM模型第一次在亚太区进行发布，也是首次进行中文版本发布。

“这是BSIMM模型第一次在亚太区发布，因为我们认识到，亚太区客户逐渐希望对软件的生产过程进行更全面的把控，他们希望与垂直领域其他同行进行优劣势对比，从而更好地完善自己的软件安全质量。”新思科技软件质量与安全部门高级安全架构师杨国梁在近日接受C114中国通信采访时告诉我们。

新思科技软件质量与安全部门高级安全架构师杨国梁

据了解，BSIMM8收集了来自109家公司的数据，参与BSIMM8调研的公司来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网和保险。在国内公开宣布使用BSIMM模型进行评估的企业包括全球领先的视频监控解决方案供应商大华股份，通过与新思科技的合作，大华股份希望加强其物联网（IoT）设备和解决方案的安全性。

图：公开宣布参与BSIMM模型评估的公司

未雨绸缪 将软件安全贯穿到SDLC之中

事实上，多数人对新思科技的印象都停留在它是全球排名第一的电子设计自动化（EDA）供应商和全球排名第一的半导体接口IP供应商上。

不过，杨国梁向我们介绍称，新思科技在2014年收购了Coverity之后就成立了一个全新的业务部门——软件质量与安全部门（Software Integrity Group,SIG），并在后续通过接连收购芬兰安全公司Codenomicon、安全咨询服务公司Cigital以及不少初创公司后，通过将Cigital的安全咨询服务融合进既有安全产品，由此构成了一套完整的软件安全质量解决方案。

“我们的软件安全质量解决方案能够覆盖完整的软件开发生命周期（SDLC），从人员的培训到初始的规划设计，再到编码、测试、上线和应急响应，我们可以提供在整个SDLC过程中检测和修复缺陷所需要的一切东西。”在杨国梁看来，软件与与其他传统制造业是一样的，都有一个开发生命周期的过程和一个制造的过程，在任何一个阶段都有可能出现问题。

而新思科技所谓的覆盖SDLC，其出发点在于“要从源头把控好整个软件和安全和质量的生产过程”，也即将软件安全或者安全的概念提前到软件研发阶段，这样修补问题的成本代价相比上线后遭遇问题再进行弥补会低很多。

“随着BSIMM模型的演进，我们发现，软件安全问题大多都是因为初期欠考虑。BSIMM报告中也提到，企业在初期培训时就需要加强安全概念，设置专人专岗，确认流程做的足够好才能确保软件成熟度。我们观测到的BSIMM里面得分比较高的公司，都对SDLC整个流程每个环节进行了大量的投入。”

如何用好BSIMM这把安全量尺

第一版BSIMM于2008年发布，由世界知名信息安全咨询团队Cigital提出。据介绍，当时Cigital在美国找到了包括谷歌、微软在内的几十家知名公司，通过与这些非常注重安全的企业交流后，抽象出来大约110个安全活动，然后把这110个安全活动归纳为12个不同的实践，并映对到四个不同领域（分别为治理、智能、SSDL触点和部署）上，从而形成了一个软件安全框架。这个框架作为一个评估体系，能够映对到不同的公司。不同的公司都可以用这110多个活动指标进行自我评估。

在2016年收购Cigital后，新思科技在今年发布了最新的BSIMM8。在BSIMM8报告中我们看到这样一段文字，“BSIMM不是‘行动’指南，也不是万能的工具，而是对当前软件安全状态的体现。”

杨国梁对此解释道，“BSIMM本身是一个客观地去看现在正在做什么、已经发生了什么的一个标尺。我们新思科技作为一个指定的评估机构，会与被评估公司进行一系列不同层级和部门人员的访谈，最后确认该公司的实践状况并进行打分。这种评估不是一套方法论，而是一个评估的工具。”

他表示，BSIMM是一个免费开放模型，报告数据内容免费开放，企业可以拿到报告自己进行评估。而新思科技在其中扮演的角色是去收集和维护数据，并确保这些数据的新鲜度，同时也会提供评估服务。“在完成评估后，新思科技还会提供后续的跟进服务——软件安全成熟度提升计划。我们会根据BSIMM评估结果，在与被评估者的高管商谈后制定出一套计划，具体来针对一些方面进行补墙，这是一套涉及人员、规划、资源等多方面的详细计划。”

新思科技不断加强软件安全实力

基于多年的BSIMM实践体验，新思科技发现，评估企业的软件安全是切实可行且非常有用的。企业可基于BSIMM评估结果来规划、构建并演进软件安全计划。

BSIMM8报告中指出，在行业软件安全成熟度方面，每个行业都有不同于其它行业的关注重点和举措，每个行业和独立组织构建软件安全的方式也有差异。总的来说，云端、金融服务、独立软件供应商的成熟度要高于医疗卫生、物联网和保险行业。金融服务和云行业在合规与政策实践模块得分较高，物联网行业在软件环境实践中成熟度最高。

图：BSIMM中物联网与医疗卫生和保险行业的软件安全成熟度对比

此外，报告显示，参加多次BSIMM评估的公司的成熟度有明显的上升趋势，平均活动数量增加了10.3，达到33.4%。而设立基准是指导企业持续构建安全软件最有效的实践。

“SIG代表新思公司在2017年2月Gartner的应用安全领域评估中，一直处于领导者地位。”杨国梁表示，新思科技现在是全球第15大软件公司，最近也刚宣布收购黑鸭子软件公司(Black Duck Software)，通过整合黑鸭子的“软件组成分析方案”，新思科技将扩大产品阵容及客户覆盖面，有助于进一步加强其在软件安全市场的实力。