隨著科技的不斷進步，軟件因其方便、快捷、實用性強等特點，在各個領(lǐng)域中得到了廣泛的應(yīng)用。然而，隨之而來的安全問題也日益凸顯，從軟件缺陷到漏洞，再到大規(guī)模的數(shù)據(jù)泄露，特別是現(xiàn)在，越來越多的企業(yè)將一些關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到線上，軟件安全一旦出現(xiàn)問題可能帶來災(zāi)難性的后果或重大經(jīng)濟損失，因此，有效地評估軟件的安全性十分必要。

　　現(xiàn)在，企業(yè)組織通常會從其軟件開發(fā)生命周期中收集安全指標，實施基本安全措施，并將保護用戶數(shù)據(jù)的義務(wù)定義為基本安全策略的一部分。

　　根據(jù)年度《構(gòu)建安全成熟度模型》（BSIMM）報告顯示，超過四分之三的受訪組織定期采取10項常見安全措施來改善其整體防御態(tài)勢，其中包括檢測其安全開發(fā)生命周期（SDLC）以及使用自動化工具等等。

　　構(gòu)建安全成熟度模型（BSIMM）是一種數(shù)據(jù)驅(qū)動的模型，采用一套面對面訪談技術(shù)開展 BSIMM評估，唯一目標就是觀察和報告。它是一把衡量企業(yè)在軟件開發(fā)階段構(gòu)建軟件安全能力的標尺。BSIMM軟件安全框架（SSF）包含四個領(lǐng)域--治理、 情報、SSDL觸點和部署。這四個領(lǐng)域又包括12個實踐模塊，而這12個實踐模塊中又包含122項BSIMM活動。

　　該報告就是基于對受訪企業(yè)的12個實踐模塊進行評估，詢問他們是否進行了122項不同的安全活動中的任何一種。結(jié)果顯示，在參與調(diào)查的128家公司中，92%的公司從其軟件開發(fā)生命周期收集數(shù)據(jù)以提高安全性，而91%的公司定期確認其基礎(chǔ)主機和網(wǎng)絡(luò)安全措施的狀態(tài)--根據(jù)BSIMM調(diào)查生成的排名列表，這正是受訪組織中最常見的兩項安全舉措。

　　BSIMM報告的作者之一Eli Erlikhman表示，這些數(shù)據(jù)表明，企業(yè)組織在完善其軟件安全流程方面正取得重大進展。他解釋稱，“我們看到軟件安全流程方面正在得到進一步改進，組織在某些領(lǐng)域變得更好，例如控制開源風(fēng)險、供應(yīng)商安全以及缺陷發(fā)現(xiàn)等。與此同時，我們也看到該行業(yè)仍有改進的空間，組織應(yīng)該繼續(xù)增強自身的能力?！?/p>

　　目前的評估結(jié)果發(fā)現(xiàn)，越來越多涉及勒索軟件攻擊和軟件供應(yīng)鏈攻擊的公共事件（例如針對遠程管理軟件制造商Kaseya的攻擊事件）使企業(yè)組織更加關(guān)注旨在預(yù)防或減輕事件的措施。在過去兩年中，61%的受訪組織正在積極尋求識別開源風(fēng)險--今年是74 家，而兩年前是 46家--而55家公司已經(jīng)開始授權(quán)模板軟件許可協(xié)議，比兩年前增加了57%。

　　在過去的18個月中，企業(yè)組織經(jīng)歷了數(shù)字化轉(zhuǎn)型計劃的“大跨步”。考慮到這些變化的復(fù)雜性和速度，對于安全團隊來說，擁有能夠讓他們了解自身立場并為下一步行動提供參考的工具，變得前所未有的重要。

　　BSIMM報告旨在讓公司能夠就如何隨著時間的推移改進其軟件安全工作做出數(shù)據(jù)驅(qū)動的決策。10 項最常見的舉措--以及參與這些舉措的組織比例如下所示：

　　實施生命周期檢測并用于定義治理（92%）；

　　確保主機和網(wǎng)絡(luò)安全基礎(chǔ)措施到位（91%）；

　　確定PII義務(wù)（89%）；

　　執(zhí)行安全功能審查（88%）；

　　使用外部滲透測試人員發(fā)現(xiàn)問題（87%）；

　　創(chuàng)建或與事件響應(yīng)交互（84%）；

　　集成并提供安全功能（80%）；

　　使用自動化工具（80%）；

　　確保QA執(zhí)行邊緣/邊界值條件測試（78%）；

　　將合規(guī)性約束轉(zhuǎn)化為需求（77%）；

　　數(shù)據(jù)表明，總的來說，企業(yè)組織在軟件安全方面正變得越來越成熟。兩年前，BSIMM報告發(fā)現(xiàn)，只有70%的受訪組織執(zhí)行了前10項舉措中最不常見的舉措，而今年這一比例為77%。

　　BSIMM調(diào)查還顯示，越來越多的企業(yè)組織專注于保護其軟件供應(yīng)鏈并確保其基礎(chǔ)設(shè)施安全。兩個增長最快的活動是為容器和虛擬化環(huán)境應(yīng)用編排，參與企業(yè)從兩年前的5家增加到33 家，其次是確保云安全基礎(chǔ)，現(xiàn)在是59家企業(yè)參與，而兩年前僅有9家。

　　檢查軟件物料清單（SBOM）是另一個快速增長的軟件安全領(lǐng)域，有14家企業(yè)采取了這項活動，而兩年前只有3家公司。

　　報告還發(fā)現(xiàn)，其中許多活動都從“專注于將安全性進一步轉(zhuǎn)移到開發(fā)”--所謂的“左移”（shift?left）--轉(zhuǎn)變?yōu)椤皩Ｗ⒂趯踩顒犹砑拥叫枰牡胤健?-所謂的“無處不移”（shift?everywhere）。運營基礎(chǔ)設(shè)施的自動化安全驗證就是一個例子，其中安全性從左移到開發(fā)，右移到運營，更全面地轉(zhuǎn)移到工程中。