正文

安全成熟度模型:利用高管风险偏好推动安全开发演进

admin
admin V管理员 /0 评论 /18 阅读
0316
文章最后更新时间2025年03月16日,若文章内容或图片失效,请留言反馈!

组织可以将其流程与两项自我评估和安全成熟度全球行业标准之一(BSIMM 和 OWASP SAMM)相结合。

在政府主导的推动下,软件设计更加安全,开发人员和管理人员正专注于建立软件安全模型,这可以指导企业将安全开发最佳实践融入日常运营中。

组织可以将其流程与两项全球自我评估和安全成熟度行业标准之一相结合,这两项标准分别是:构建安全成熟度模型(简称 BSIMM,发音为“bee-sim”)和开放全球应用安全项目的软件保障成熟度模型(又名 OWASP SAMM)。

这些框架采用不同的方法来帮助组织提升安全性。BSIMM 充当描述性模型,提供来自 100 多个组织的最佳实践模板,您可以将其与安全软件计划 (SSI) 进行比较。SAMM 是规范性的,提供指导组织走向安全软件程序的途径。它们的共同点是,许多组织发现很难实现这两种安全模型的目标,尽管他们增加了预算以追求明确的安全结果,并获得了高管对其 SSI 的支持。

随着风险评估甚至在高管层面也变得越来越重要,组织需要采取一种由开发人员驱动的安全方法,积极针对开发人员风险管理、技能提升和战略存储库“把关”。这些举措可以帮助他们在评估当前安全级别并制定符合 BSIMM 或 OWASP SAMM 的行动计划的同时保持正轨。

了解成熟度模型

BSIMM 向您展示了软件安全模型是什么样子的,使组织能够评估其当前 SSI 的状态,了解其与业内其他 SSI 的比较情况并衡量其进展。它并不是实施安全模型的分步指南,而是使组织能够使用来自其他组织的真实数据分析其程序,并在四个领域的 12 种实践中对性能进行基准测试:治理、情报(用于执行安全活动的企业知识)、安全软件开发生命周期 (SSDL) 和部署。

它使团队能够了解其当前的安全成熟度状态,从而允许他们制定适合其组织流程的改进策略。

OWASP SAMM 是一个开放框架,它提供了组织可以采取的明确步骤来实现安全成熟度,但它旨在允许任何规模的组织定制自己的方法。SAMM 将 12 项核心实践分为五个业务功能 - 治理、设计、实施、验证和运营 - 每个功能包含两个流程,分为三个成熟度级别。

OWASP 表示,该解决方案的细节非常简单,即使是非安全人员也可以轻松理解,并且不要求每个组织在每个级别都达到最高安全性,尽管在每个阶段它都会将组织引向下一个级别。SAMM 可帮助组织在流程的任何步骤中分析其当前的安全性,以便他们了解其在安全成熟度旅程中处于什么位置。

尽管 BSIMM 和 SAMM 都是成熟的框架,但许多组织仍然难以遵循这些框架并实现预期目标,无论是因为涉及的复杂性(尤其是小型组织的问题)、资源问题还是其他成功障碍。在开始实施 BSIMM 或 SAMM 之前,组织可能需要首先确保开发人员和安全团队已准备好处理工作量,并配备了正确的工具。

开发人员技能提升的重要性

组织再也不能将与 BSIMM 和 SAMM 保持一致视为有朝一日能实现的理想目标。近年来,从SolarWindsChange Healthcare,重大漏洞事件不断增多,凸显了软件安全的重要性。美国网络安全和基础设施安全局 (CISA) 对此作出了回应,推出了Secure-by-Design计划,推广安全编码以及其他最佳实践,这项计划正成为一项全球性努力,并得到其他国家计划的支持。

希望采用 Secure by Design 且不影响交付速度的公司可以从建立一种强调代码质量、技能提升和技能验证的组织文化开始。他们还需要避免那种可能无意中形成的限制性环境,即一个完全熟悉系统的人实际上控制了系统,通过他们自己的个性化快捷方式和变通方法来管理系统,并阻止其他人访问和了解系统。

安全领导者可以通过多种方式吸引高管和开发人员的支持,例如,为开发人员开发以安全为中心的职业道路,这些职业道路以敏捷、交互式培训计划为基础,专注于编写安全代码和纠正可能由开源代码或第三方代码引入的编码错误,以及由人工智能驱动的编码助手,这些都变得越来越普遍。它应该是安全第一思维的一部分,其中包括对人工智能和开源代码使用的架构监督,以及执行威胁建模和其他防御程序的能力。

由于开发人员面临着编写比以往更多代码的压力,开发团队需要具备较高的安全成熟度以避免返工。这就需要拥有高技能的人员在战略性、以预防为重点的框架内工作。开发人员和 AppSec 团队必须紧密合作,而不是像以前那样作为独立实体运营。如今,开发人员需要在确保安全最佳实践方面发挥重要作用。例如,Black Duck Software 最新的BSIMM 报告发现,每 100 名开发人员中只有 3.87 名 AppSec 专业人员,这对于试图独自保护组织软件的 AppSec 团队来说并不是一个好兆头。

学习计划的一个关键部分是能够衡量开发人员在计划中的进度,这既是为了确保开发人员有资格从事组织最敏感的项目,也是为了评估计划的有效性。这种技能提升应该是持续的,你应该始终寻找可以改进的地方。利用 SCW 的信任评分等工具可以帮助确保取得进展,该工具使用基准来衡量内部和行业标准的进展。

奠定安全成熟度的基础

实现 BSIMM 和 SAMM 目标的部分挑战在于组织是否做好了准备。首先,在内部建立良好的基础,树立安全第一的文化,将安全作为业务重点,并将培养具有安全技能的开发人员放在首位。然后,在整个组织内实施安全设计方法。这样做将产生高管和开发人员的认同和支持,真正推动提高企业安全成熟度的努力,并最终管理由缺乏安全技能和意识的开发人员引入的固有风险。

无论选择遵循描述性 BSIMM 还是规范性 SAMM,组织都可以通过在自己的企业内部奠定基础来帮助确保他们能够实现软件安全成熟度,使安全最佳实践成为日常工作的重要组成部分,从创建软件代码的第一步开始。

— 欢迎关注


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com