保護開源組件并將安全性集成到開發人員工具鏈中的活動激增了近 50%

無規劃，不安全。通常軟件安全計劃比較成功的企業都設有專門的軟件安全小組。該小組一開始可能只是一人團隊（整個團隊只有軟件安全主管一個人），后來隨著時間的推移而不斷發展壯大。了解重要的應用安全趨勢可以幫助軟件安全小組做好戰略性的改進規劃。

新思科技(Synopsys, Nasdaq: SNPS)發布其最新版本的軟件安全構建成熟度模型(BSIMM)的第13版——BSIMM13。該報告分析了Adobe、PayPal 和聯想在內的130家企業的軟件安全實踐。

BSIMM13涵蓋了410,000多名開發人員為軟件安全做出長期努力的成果，他們構建和維護了超過145,000個應用程序。

報告強調了越來越多的 BSIMM 成員企業正在實施安全“無處不移”的策略，以在整個軟件開發生命周期 (SDLC) 中執行自動、持續的安全測試，并管理其完整應用組合的風險。

新思科技軟件質量與安全部門總經理Jason Schmitt表示：“BSIMM13的調研發現，隨著軟件供應鏈的關注度提升，大多數企業都在采用基于風險預防的措施以確保應用安全。他們意識到安全不局限于代碼庫。安全涵蓋軟件開發過程、安全審查和測試‘無處不移’，以持續提升安全性。報告還表明，BSIMM成員企業的軟件安全計劃正趨向成熟。他們現在正在尋找解決方案，以推動其計劃的可擴展性、效率和整體有效性。”

BSIMM13 由新思科技軟件質量與安全部門進行匯總分析，重點介紹了過去 12 個月內成員企業的軟件安全計劃的演變趨勢，包括：

?管理軟件供應鏈風險及SBOM（軟件物料清單）興起。可能由于近期比較頻繁的供應鏈攻擊事件影響，管理軟件供應鏈風險（最常見的是通過識別和保護開源軟件來執行）成為BSIMM成員企業的首要任務。BSIMM13 報告顯示，在過去 12 個月中，與控制開源風險相關的活動增加了 51%，通過構建和維護SBOM以對其部署的軟件中的組件進行全面分類的企業增加了 30% 。

?將安全集成到開發人員工具鏈中。在過去 12 個月中，BSIMM成員企業在將安全集成到CI/CD管道和開發人員工具鏈方面取得了重要的進展，這是實施安全“無處不移”的策略的一部分。BSIMM13 數據指出，使企業能夠將安全測試納入QA（質量保證） 自動化的活動增加了 48%。

?將軟件安全擴展到產品和應用之外。BSIMM13 數據還顯示安全團隊正在與運營合作開展更多的活動，以保護不是應用程序的軟件（例如為 CI/CD 創建的自動化）。過去 12 個月，利用運營數據進行持續改進的活動增長了 95%。

?通過自動化和持續測試實現安全“無處不移”。BSIMM13 數據報告稱，82% 的 BSIMM 成員企業現在使用自動代碼審查工具（在 BSIMM13 中排名前 10 最受關注的活動）。這增強了他們執行更快、增量安全測試和識別漏洞的能力，因為這些工具貫穿在SDLC中。

新思科技自2008年起發布BSIMM報告。該報告是一種成熟度模型，觀察和量化軟件安全人員執行的活動，以幫助更廣泛的安全社區成員規劃、執行和衡量自身的舉措。BSIMM 數據來源于在評估期間與成員企業進行的深度訪談。在評估之后，觀察數據被匿名化并添加到 BSIMM 數據池中，且在其中執行統計分析，以突出 BSIMM 成員企業如何保護其軟件的趨勢。

除了發布其年度報告外，BSIMM 還為成員企業搭建社區平臺，通過社區討論、博客、電子學習課程、網絡研討會和分享軟件安全的獨家內容等，與同行互動、學習最佳實踐并獲得對不斷變化的商業環境的新見解。

聯想基礎設施解決方案事業部產品安全部執行董事Bill Jaeger表示：“在 2015 年加入 BSIMM 社區后，我們發現每年更新的報告洞察可以幫助聯想規劃和衡量安全計劃。這對我們了解客戶最重要的實踐領域也具有重要價值。此外，BSIMM 社區本身就是一個極好的資源，成員們慷慨地分享經驗。他山之石，可以攻玉。我們都踏上了相似的安全之旅，剛起步的企業可以借鑒已經有成果的企業的軟件安全計劃實踐。”