软件安全开发能力评估体系的由来
随着信息技术的迅速发展和网络空间威胁的不断演变,软件系统的安全性逐渐成为企业和组织关注的焦点,企业需要一种系统性、结构化的方法来评估和提高其软件安全开发能力,以更好地评估潜在的软件安全风险。为了应对这一挑战,各种软件安全开发体系和评估模型应运而生。
从2004年开始,以微软为代表正式提出了安全开发生命周期(SDL)的概念,其中软件安全开发能力评估体系概念的提出也已经有近二十年的历史了。SDL旨在通过整合安全性到软件开发的各个阶段,从而提高软件系统的整体安全性,目前SDL依旧在活跃更新其内容。SDL的出现标志着对软件安全的系统性思考,为后来的安全开发能力评估体系奠定了基础。
2009年,一种基于实践的体系BSIMM(Building Security In Maturity Model)首次发布,BSIMM的独特之处在于它不是提供一套理论框架,而是基于实际的软件开发经验,总结了各种行业内领先的软件安全实践,为企业提供了参考,帮助其制定适合自身业务和风险的安全开发策略。
在BSIMM的启发下,OWASP(开放式Web应用程序安全项目)于2011年推出了SAMM(Software Assurance Maturity Model)模型。SAMM旨在帮助组织评估和改进其软件安全实践,同时也提供了一种结构化的方法来集成软件安全最佳实践。相较于其他模型,SAMM更加注重安全实践的可持续性和集成,强调了软件安全活动的不断演进。
这些评估体系的作用有多个方面。首先,它们为企业提供了一种度量其软件安全实践成熟度的方法,帮助企业了解其在软件安全方面的强弱项。其次,它们为企业提供了一份指南,以指导企业在软件开发过程中融入安全性的最佳实践。此外,这些体系还促进了行业间的经验分享和合作,使得软件安全开发变得更为标准和规范。总体而言,软件安全开发能力评估体系的发展是对软件安全意识日益增强的反映,是企业和组织在面对不断演变的网络威胁时采取的积极行动,这些体系的出现和发展为软件行业提供了一种更加有效的软件安全开发路径。
为什么我们需要本土化的评估体系
本土化软件安全开发能力评估体系对于中国企业理解和吸收软件安全开发理念显得尤为重要。过去的十多年里,我们深入调研了国内央企、国企、金融、通讯、软件服务、房地产等各行业的头部企业,发现这些企业中的软件开发团队通常只会执行零散的软件安全开发实践,他们往往并不清楚组织自身的安全开发能力所处水平,也不明确与行业最佳实践存在哪些差距。如果企业在安全建设上缺乏整体性规划或方向错误,就可能导致安全建设的投入产出比低下,对企业的正常业务发展造成不良影响。
上述提到的国外的安全开发能力评估模型虽然包含一些常见的安全活动,但在执行细则上缺乏相关标准,难以作为具体指导的工具。另外,这些国外的软件安全开发经验在提炼成为模型的过程中,并没有考虑中国企业的业务模式特点,中国的软件安全开发实践案例缺少,并且在评估表达方式、培训方式等方面没有考虑过本土习惯,使得企业较难理解和接受,最终使得模型内容吸收及落地困难,实际使用效果不佳。
在这一背景下,我们更需要一个本土化的评估体系迎合中国企业的实际需求,旨在为其提供更全面、具有指导性和适用性的安全开发能力评估框架。通过针对中国企业所面临的中国市场特点,考虑中国特有的法规和合规性要求,包括《网络安全法》、《个人信息保护法》等,确保评估体系充分涵盖并满足国内法规的要求,帮助中国企业合理配置软件开发资源,有助于企业更科学地制定安全开发战略。
软件安全开发能力评估体系的发展趋势
软件安全开发能力评估体系的发展是随着软件技术的发展而不断更新的。我们观察到,全球标准化成为了一个关键趋势,例如中国的《网络安全法》、美国的《网络安全框架》、欧盟的《通用数据保护条例》等各国或地区法律都在对全球的软件发展产生深刻影响,这也使得我国企业的软件出海业务首先要考虑的问题就是要能遵循当地法规、保障软件供应链安全、执行统一的安全标准等;其次,随着DevSecOps理念的推广,评估体系将更加整合于持续集成、持续交付和持续部署等DevOps实践,强调自动化和持续安全集成;云原生和微服务的兴起使评估体系更加注重这些新型架构中的安全问题,包括容器安全和服务通信安全;人工智能和机器学习将更深入地整合于评估体系,以提供更智能和准确的漏洞检测和威胁建模;颗粒度指标和度量成为关注的焦点,以更准确地衡量软件开发活动中各个环节的安全性;灵活性和定制化成为趋势,以便企业根据自身业务特点和需求调整评估体系;最后,各个行业的具体实践案例的积累将促使评估体系更加注重分享和应用,例如近年来人工智能技术在各行业的运用、智慧工业的发展、关键基础设施的安全关注等等,都在促进软件安全开发水平的衡量维度不断提升。这些趋势共同构成了软件安全开发能力评估体系的未来发展方向,为迎接新的技术和业务挑战提供了更灵活、智能和全面的解决方案。
最后
软件安全开发能力评估体系可以帮助企业客观了解自身软件开发活动的安全能力水平,让企业能有针对性地应对各种软件威胁,这些威胁不仅仅指的是软件自身可能存在的安全漏洞,还包括软件的合规性,软件成分的安全管控,开发过程的安全管控等内容。软件安全开发能力评估体系的本土化对于我国软件产业的发展安全起到了保驾护航的作用,能够让更多中国企业认可和接受软件安全开发的重要性,提升整体软件产业的质量水平。