近日，新思科技發布了軟件安全構建成熟度模型第12個版本——BSIMM12。該模型評估了128家企業，涵蓋了金融、金融科技、獨立軟件供應商、科技、物聯網、云、零售等眾多行業，旨在幫助企業規劃、執行、評估和完善其軟件安全計劃。

BSIMM12報告中發現的新趨勢包括：

影響廣泛的勒索軟件和軟件供應鏈中斷促使人們更加關注軟件安全。 BSIMM 數據顯示，在過去兩年中，參與評估的企業中，進行“識別開源代碼”活動增加了 61%，“創建 SLA 樣板文件”活動增加了 57%。

企業開始學習如何將風險轉化為數據。 企業正更加努力地收集和發布他們的軟件安全計劃數據。過去 24 個月“在內部發布有關軟件安全的數據”活動增加了 30%，證明了這一點。

增強的云安全功能。 管理層的日益關注，再加上工程化的驅動，使得企業開始培養自己的云安全管理能力以及評估他們的責任共擔模型。過去兩年中，與云安全相關的活動平均有36次新觀察結果。

安全團隊正在借調資源、人員和知識用于DevSecOps活動。BSIMM 數據顯示，軟件安全團隊正在從強制性的軟件安全行為朝著合作伙伴角色轉移——為 DevOps 實踐提供資源、人員和知識，目的是將安全工作納入軟件交付的關鍵路徑。

軟件物料清單活動增加了 367%。BSIMM 數據顯示專注于以下內容的能力有所增加，包括軟件物料清單的功能； 創建軟件物料清單 (BOM)； 了解軟件是如何構建、配置和部署的； 以及提高企業基于安全遙測重新部署的能力。數據證明許多企業已經重視對全面、最新的軟件 BOM 的需求，與這些功能相關的 BSIMM 活動（“通過運維物料清單來增強應用程序庫存盤點”）在過去兩年從3次增加到14次，增長了367%。

安全“左移”變為“無處不移”。“左移”的概念側重于在開發過程中更早地進行安全測試。“無處不移”將安全測試擴展到在整個軟件生命周期中持續進行，包括盡早進行更小、更快、管道驅動的安全測試，這可能是在設計階段，甚至在生產階段。

新思科技軟件質量與安全部門高級安全架構師楊國梁表示，目前安全團隊面臨著諸多挑戰，而這些挑戰也正契合了BSIMM12報告中的趨勢預測：

擁抱數字化轉型及云技術。數字化轉型過程中會涉及大量云相關的技術，如何確保其安全問題至關重要。 

為工程團隊及AppSec團隊搭建橋梁。企業需要考慮如何利用模型幫助工程團隊及AppSec團隊互相理解，互相借鑒，從而把事情做得更好。

向“無處不移”轉變。由于容器技術的興起，導致一些安全活動只能在容器部署時才開始監控，勢必導致安全“左移”，如果只能在容器部署階段監控，那么也要適度的向右移，向部署階段、監控階段進行安全活動。此外，由于公司各個環節都有相應的安全工作，因此“無處不移”將成為未來趨勢。 

DevSecOps。越來越多的企業開始采用DevSecOps高生產力兼顧安全的模型，而在DevSecOps的過程中如何確保效率以及安全，也將是很大的挑戰。

大規模工作的可視性。如何在海量代碼下確保得到相應的數據，并用這些數據來驅動工作進一步有序地開展，都是亟需解決的問題。

管理供應鏈風險。如何管控好供應鏈的每個環節，避免供應鏈攻擊的發生，一直是困擾業界的難題。

楊國梁表示，十幾年來，BSIMM 咨詢、研究和數據專家一直在不斷地豐富BSIMM 模型，幫助企業調整安全策略，進行持續創新，以保護他們的企業和客戶。

楊國梁還強調，BSIMM不是一套方法論或者指導性的模型，它是全球企業衡量軟件安全的標尺，企業可以將自己的軟件安全計劃與BSIMM社區的數據進行比較，然后去做相應的改善。

下載>>> BSIMM12報告