什麼是安全的基礎和目的（定義新的安全基礎）

2023-08-09 19:03:47 1

什麼是安全的基礎和目的?隨著科技的不斷進步，軟體因其方便、快捷、實用性強等特點，在各個領域中得到了廣泛的應用然而，隨之而來的安全問題也日益凸顯，從軟體缺陷到漏洞，再到大規模的數據洩露，特別是現在，越來越多的企業將一些關鍵業務轉移到線上，軟體安全一旦出現問題可能帶來災難性的後果或重大經濟損失，因此，有效地評估軟體的安全性十分必要，我來為大家科普一下關於什麼是安全的基礎和目的?下面希望有你要的答案，我們一起來看看吧!

什麼是安全的基礎和目的

隨著科技的不斷進步，軟體因其方便、快捷、實用性強等特點，在各個領域中得到了廣泛的應用。然而，隨之而來的安全問題也日益凸顯，從軟體缺陷到漏洞，再到大規模的數據洩露，特別是現在，越來越多的企業將一些關鍵業務轉移到線上，軟體安全一旦出現問題可能帶來災難性的後果或重大經濟損失，因此，有效地評估軟體的安全性十分必要。

現在，企業組織通常會從其軟體開發生命周期中收集安全指標，實施基本安全措施，並將保護用戶數據的義務定義為基本安全策略的一部分。

根據年度《構建安全成熟度模型》（BSIMM）報告顯示，超過四分之三的受訪組織定期採取10項常見安全措施來改善其整體防禦態勢，其中包括檢測其安全開發生命周期（SDLC）以及使用自動化工具等等。

構建安全成熟度模型（BSIMM）是一種數據驅動的模型，採用一套面對面訪談技術開展 BSIMM評估，唯一目標就是觀察和報告。它是一把衡量企業在軟體開發階段構建軟體安全能力的標尺。BSIMM軟體安全框架（SSF）包含四個領域——治理、 情報、SSDL觸點和部署。這四個領域又包括12個實踐模塊，而這12個實踐模塊中又包含122項BSIMM活動。

該報告就是基於對受訪企業的12個實踐模塊進行評估，詢問他們是否進行了122項不同的安全活動中的任何一種。結果顯示，在參與調查的128家公司中，92%的公司從其軟體開發生命周期收集數據以提高安全性，而91%的公司定期確認其基礎主機和網絡安全措施的狀態——根據BSIMM調查生成的排名列表，這正是受訪組織中最常見的兩項安全舉措。

BSIMM報告的作者之一Eli Erlikhman表示，這些數據表明，企業組織在完善其軟體安全流程方面正取得重大進展。他解釋稱，「我們看到軟體安全流程方面正在得到進一步改進，組織在某些領域變得更好，例如控制開源風險、供應商安全以及缺陷發現等。與此同時，我們也看到該行業仍有改進的空間，組織應該繼續增強自身的能力。」

目前的評估結果發現，越來越多涉及勒索軟體攻擊和軟體供應鏈攻擊的公共事件（例如針對遠程管理軟體製造商Kaseya的攻擊事件）使企業組織更加關注旨在預防或減輕事件的措施。在過去兩年中，61%的受訪組織正在積極尋求識別開源風險——今年是74 家，而兩年前是 46家——而55家公司已經開始授權模板軟體許可協議，比兩年前增加了57%。

在過去的18個月中，企業組織經歷了數位化轉型計劃的「大跨步」。考慮到這些變化的複雜性和速度，對於安全團隊來說，擁有能夠讓他們了解自身立場並為下一步行動提供參考的工具，變得前所未有的重要。

BSIMM報告旨在讓公司能夠就如何隨著時間的推移改進其軟體安全工作做出數據驅動的決策。10 項最常見的舉措——以及參與這些舉措的組織比例如下所示：

數據表明，總的來說，企業組織在軟體安全方面正變得越來越成熟。兩年前，BSIMM報告發現，只有70%的受訪組織執行了前10項舉措中最不常見的舉措，而今年這一比例為77%。

BSIMM調查還顯示，越來越多的企業組織專注於保護其軟體供應鏈並確保其基礎設施安全。兩個增長最快的活動是為容器和虛擬化環境應用編排，參與企業從兩年前的5家增加到33 家，其次是確保雲安全基礎，現在是59家企業參與，而兩年前僅有9家。

檢查軟體物料清單（SBOM）是另一個快速增長的軟體安全領域，有14家企業採取了這項活動，而兩年前只有3家公司。

報告還發現，其中許多活動都從「專注於將安全性進一步轉移到開發」——所謂的「左移」（shift left）——轉變為「專注於將安全活動添加到需要的地方」——所謂的「無處不移」（shift everywhere）。運營基礎設施的自動化安全驗證就是一個例子，其中安全性從左移到開發，右移到運營，更全面地轉移到工程中。

參考及來源：https://www.darkreading.com/application-security/the-new-security-basics-10-most-common-defensive-actions

文章來源：嘶吼專業版