2023年9月發布的《在成熟模型中構建安全》(bsimm)的第四版本被**大肆宣傳,bsimm4包含對英特爾和富達案件的詳細的案例分析。筆者認為bsimm的重要性在於—它是唯一可用於衡量軟體安全計畫的資料驅動模型。bsimm從事實出發,詳細描述軟體安全狀態。
但bsimm沒有提供直接的建議來指導你的公司如何處理軟體安全問題。誠然,絕大多數企業才剛剛開始面對軟體安全,他們將受益於多年(集體)直接經驗的可操作性指導。
根據在該行業多年的經驗以及四年解譯bsimm資料的經驗,筆者提出了軟體安全十誡。
軟體安全十誡:規範性指導
0.你應該通過軟體安全組(ssg)來建立軟體安全計畫(ssi)。
1.你應該依賴採用bsimm的風險管理和客觀測量來定義ssi的成功來確定ssi的成功,而不是「前十名列表」和漏洞數量。
2.你應該與企業高管溝通,直接將ssi的成功與業務價值聯絡,並與公司的競爭對手作比較。
3.你應該建立和採用ssdl方法,如微軟sdl或者cigital touchpoints,這些方法整合了安全控制(包括架構風險分析、**審查和滲透測試)以及比他們自己執行的工具還更了解軟體安全的人員。
4.你不應該將軟體安全活動僅限於技術sdlc活動,尤其是滲透測試。
5.你應該為你的ssg發展培養軟體安全專家(因為周圍沒有足夠的合格專家)。
6.你應該關注來自業務、運營和事件響應人員的情報資訊,並相應地調整ssi控制。
7.你應該仔細追蹤你的資料,並指導資料的位置,無論你的架構多麼雲計算化。
8.你不能單純地依靠安全特性與功能來構建安全的軟體,因為安全是整個系統的新興資產,它依賴於正確地建立和整合所有部分。
9.你應該修復已識別的軟體問題:漏洞和缺陷
通過軟體安全組(ssg)來建立軟體安全計畫(ssi)。bsimm的51家企業都有乙個活躍的軟體安全組。如果沒有軟體安全組,是不太可能建立可行的軟體安全計畫(迄今為止,在該領域沒有出現過例外),所以,在你開始軟體安全活動前,建立乙個軟體安全組。軟體安全組有各種規模和形態,所有好的軟體安全組都應該包含具有深度編碼經驗的人和具有架構經驗的人。**審查是非常重要的最佳實踐,而執行**審查,你必須完全理解**(更不用說大量的安全漏洞)。然而,最佳**審查人員有時候是非常糟糕的軟體架構師,要求他們執行架構風險分析只會讓他們一片茫然。請確保你的軟體安全組中有架構人員以及**人員。滲透測試同樣如此,滲透測試需要以聰明的方式入侵事物(但通常不具有深度編碼技能)。最後,軟體安全組將需要對數百名開發人員進行培訓和指導,並直接與他們合作。溝通能力、教學能力以及良好的諮詢都是必備技能,至少對於部分軟體安全組工作人員而言。
依賴採用bsimm的風險管理和客觀測量來定義ssi的成功,而不是「前十名名單」和漏洞數量。太多軟體安全專業人士將軟體安全視為「打地鼠」式的漏洞查詢。企業應該意識到,發現漏洞並不沒有建立安全的軟體,也不能以此與管理層溝通。事實上,面對不斷擴大的安全問題清單,只會讓高層管理人員感到更加沮喪。如果你將所有時間花費在查詢漏洞上,而不花時間來修復這些漏洞,這根本是徒勞無功。同樣地,如果你花時間來修復安全漏洞,但又反**現同樣的漏洞,這仍然是徒勞。幸運的是,bsimm為軟體安全計畫提供了乙個極好的測量標桿。你可以將你的軟體安全計畫中的活動與同行進行對比,以確定你是遙遙領先、排在中間,還是最後(不要讓自己淪為倒數)。bsimm測量提供了對軟體安全計畫的詳細快照,這讓高層管理人員很容易理解。一些領先的企業使用bsimm測量來追蹤進展情況,並為設定軟體安全計畫戰略提供真實的資料。對於你的企業而言,需要何種程度的軟體安全性?這個問題問得好。所幸的是,一些你的同行可能知道。
與企業高管溝通時,直接將ssi的成功與業務價值相聯絡,並與公司的競爭對手作比較。正如上訴所說,如果你正面對著不斷擴大的安全問題清單,而你沒有想辦法來解決這些問題,你可能會被視為是問題的一部分。企業高管希望看到你的軟體安全計畫所有方面的一些「關鍵績效指標」。培訓進展如何?你的開發人員學會了如何在最開始避免漏洞嗎?你的漏洞密度比是?也就是說,與六個月前相比,在相同單位內,漏洞數量有所下降嗎?每當你的開發團隊整合新技術堆疊時,是否會出現大量安全漏洞?當你發現和解決架構問題或者修改了的要求時,你展示了這將會為你省下多少苦惱和金錢嗎?與去年相比,通過最近的生命週期滲透測試,你是否發現問題變少了?(應該是這樣)。最後,因為軟體安全計畫具有多個活動部件,bsimm測量是測量你自己的最可靠的方法。高層管理人員喜歡bsimm,並能夠即時掌握其效用。
建立和採用ssdl方法,如微軟sdl或者cigital touchpoints,這些方法整合了安全控制(包括架構風險分析、**審查和滲透測試)以及比他們自己執行的工具更了解軟體安全的人員。因為很多公司都在做軟體安全,所以存在很多不同的ssdl。並不是所有公司都有正式化的ssdl,但他們應該有。你應該從我的書《軟體安全》以及微軟的sdl借鑑一些想法,再加上一些owasp和safecode的想法。閱讀bsimm,看看其他公司正在做什麼。主要是要認識到,我們知道現在應該如何做軟體安全,這個領域已經很成熟。首先,你需要用**審查(最好使用工具)來查詢漏洞,用架構風險分析來找出問題,用滲透測試來找出容易忽略的漏洞。請確保當你使用這些工具時,不要盲目地使用它們(或者將這些工具扔給不知所措的開發人員)。請記住這一點:如果所有的開發人員在沒有幫助的情況下,能夠直接利用安全工具的結果並且修復安全漏洞,他們將不會在最開始製造漏洞。你至少需要一名比這些工具更聰明的安全專業人士。真的是這樣,如果你需要確定和建立ssdl,就去尋求幫助,有很多安全顧問靠這個吃飯
網頁設計十誡
原文 http internet.solidot.org internet 08 06 29 0348211.shtml 1.不可濫用 flashadobe 備受歡迎的 web 動畫技術,flash,在很多地方顯示了它的威力,從 nike 充滿炫耀味道的整體 flash 到充斥各個 的 flash ...
大資料十誡
大資料從來不是免費的午餐。伴隨著大資料熱潮的到來,關於大資料的一些新問題層出不窮 大資料會夾雜著虛假資訊 大資料的資料量很大,但有用的資訊不一定多,甚至還會破壞核心資訊 大資料的 是多種渠道的,偏倚 隨機的誤差總是存在。一切從問題開始 在實踐中提煉資料 讓資料的呈現變得超級簡單 讓資料跟著 人 走 ...
zz C程式十誡
1 汝應頻繁催動lint工具,據其語法宣告修習內力,此事皆因lint之思慮決斷實遠在君上。2 不可依隨null指標,如若不然,混沌痴顛必俟君於彼岸。3 縱有天賦大智慧型,知曉其事無礙,汝亦當盡數強制挪移函式引數為原型所期之資料型別,以免一時疏忽,致使資料型別向汝討還血債。4 若標頭檔案未於函式原型之...