作者:Sammy Migues、John Steven 和 Mike Ware h t i g b u m o c . 5 BSIMM10 许可条款 本作品采用知识共享署名 — 相同方式共享 3.0 许可协议(Creative Commons Attribution-Share Alike 3.0 License)进行授权。查阅此许可协议,请访问 http://creativecommons.org/licenses/by-sa/3.0/legalcode, 或致函知识共享(Creative Commons),地址是:171 Second Street, Suite 300, San Francisco, California, 94105, USA。 b u m o c . 5 h t i g PAGE 2 | BUILDING SECURITY IN MATURITY MODEL (BSIMM) – VERSION 10 执行概述 BSIMM10 摘要: 1. BSIMM 数据显示 DevOps 的采用现在足以影响我们处理软件安全行业的方式。 2. 经证实,工程导向的安全文化是帮助一些组织建立和发展有意义的软件安全工作的一种手段,而就 在几年前,这还只是一个想法而已。 3. 我们调整了对几项活动的描述,以反映我们观察到的公司在将软件安全性整合到数字化转型中所做 的工作,并添加了与这些工作相关的三项新活动。 4. BSIMM10 新增加的三项活动清晰地描述了一条轨迹:软件定义生命周期治理、软件定义资产创建的 软件辅助监控、以及软件定义基础架构的自动验证。这表明一些组织正在积极研究如何加快安全部 署,以跟上新功能的交付速度。 m o c . 5 5. 随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注 活动的深度、广度和规模,而不是总想着增加活动数量。 6. 在这个 BSIMM 版本中,我们将使用观察数据来展示软件安全计划从萌生、到成熟、再到优化的过 程。 b u BSIMM 是对现实世界中软件安全计划开展多年研究的结果。BSIMM10 模型是我们基于从 122 家企业中观 察到的数据直接构建而成。本文在“致谢”部分列出了这些公司。 h t i g BSIMM 是衡量软件是否安全的标尺。BSIMM 的最佳使用方法是将贵公司的计划与其他公司正在开展的工作 方面的信息进行比较和对比,然后可以确定您自己公司的目的和目标,并参考 BSIMM 来确定哪些额外活动 对贵公司有意义。 BSIMM 旨在量化真实的 SSI 所开展的活动。由于这些计划使用了不同的方法和不同的术语,因此,BSIMM 需要借助一个框架来帮助我们以统一的方式来描述所有计划。我们的软件安全框架(SSF)和活动描述为解释 SSI 中的突出要素提供了一套通用词汇表,从而能够让我们对各种各样的计划进行比较,即使它们采用了不 同的术语,作用于不同规模,存在于不同的垂直市场,或者创建不同的工程产品。 BSIMM 数据显示,高成熟度的计划都是全面的,涵盖该模型所描述的全部 12 项实践中各种各样的活动。此 外,该数据还描述了成熟的 SSI 是如何随时间的推移而演进、改变和提升的。 我们把 BSIMM 归类为成熟度模型,因为提高软件安全几乎总是需要企业改变其运作方式 — 这可不是一朝 一夕的事情。我们认识到,并非所有的企业都需要实现相同的安全目标,但我们相信,如果采用统一的标尺, 所有的企业都会受益。BSIMM 不是一组可以在深度和广度上出现多个重叠活动的传统成熟度模型 - 在级别 1 执行某些操作,在级别 2 执行更多操作,在级别 3 更好地执行这些操作等等。相反,BSIMM 包含一组独 特的活动,活动级别仅用于区分组织中观察活动的相对频率。经常观察到的活动被指定为“第 1 级”,较少观 察到的活动被指定为“第 2 级”,不经常观察到的活动被指定为“第 3 级”。 我们对每家具体企业的记分卡保密,但我们发布汇总数据来描述我们观察到每项活动的次数(见第二部分的 “BSIMM10 记分卡”)。此外,当某个子集的样本量足够大,能够保证企业的匿名性时,我们还会发布对该 子集(如垂直行业)的观察结果。 BUILDING SECURITY IN MATURITY MODEL (BSIMM) – VERSION 3 | PAGE 7 致谢 我们感谢在撰写 BSIMM10 过程中所研究过的全球各地世界级软件安全计划的 122 位高管,其中包括那些 选择保持匿名的人士。 Adobe Aetna Alibaba Ally Bank Amadeus Amgen Autodesk Axway Bank of America Betfair BMO Financial Group Black Duck Software Black Knight Financial Services Box Canadian Imperial Bank of Commerce Capital One City National Bank Cisco Citigroup Citizen’s Bank Comerica Bank Dahua Depository Trust & Clearing Corporation Eli Lilly Ellucian Experian FSecure Fannie Mae Fidelity Freddie Mac General Electric Genetec Global Payments HCA Healthcare Highmark Health Solutions Horizon Healthcare Services, Inc. HSBC iPipeline Johnson & Johnson JPMorgan Chase & Co. Lenovo LGE McKesson m o c . 5 b u h t i g Medtronic Morningstar Navient NCR NetApp NewsCorp NVIDIA PayPal Principal Financial Group Royal Bank of Canada Scientific Games Synopsys SIG TD Ameritrade The Home Depot The Vanguard Group Trainline Trane U.S. Bank Veritas Verizon Wells Fargo Zendesk 同时,我们感谢为帮助我们构建 BSIMM 而收集数据的 100 多名人员。 尤其是感谢 Matthew Chartrand、Sagar Dongre、Michael Doyle、Eli Erlikhman、Jacob Ewers、Stephen Gardner、 Nabil Hannan、Iman Louis、Daniel Lyon、Nick Murison、Alistair Nash、Kevin Nassery、 Donald Pollicino 以及 Denis Sheridan。此外,还特别感谢 Kathy Clark-Fisher,其在幕后完成的大量工作 使得 BSIMM 科学项目、会议和社区能够始终运行在正轨上。 BSIMM 所用数据由 Synopsys(新思科技)公司采集。BSIMM10 数据分析资源由 ZeroNorth 提供。 BSIMM1 至 BSIMM3 由 Gary McGraw 博士、Brian Chess 博士和 Sammy Migues 合著。BSIMM4 至 BSIMM9 由 Gary McGraw 博士、Sammy Migues 和 Jacob West 合著。BSIMM10 由 Sammy Migues、 Mike Ware 和 John Steven 合著。 PAGE 4 | BUILDING SECURITY IN MATURITY MODEL (BSIMM) – VERSION 10 BSIMM10 目录 第一部分:背景 BSIMM 的发展史........................................... BSIMM 模型简介........................................... 基于 BSIMM9 创建 BSIMM10....................... 软件安全计划中的各种角色........................... 6 6 7 8 • 高管领导力 • 软件安全小组(SSG) • 外围小组 • 所有其他人员 部署 ................................................................... 58 •部署:渗透测试(PT) •部署:软件环境(SE) •部署:配置管理和安全漏洞管理(CMVM) 附录 利用 BSIMM 评估您的企业 ............................ 12 使用 BSIMM 启动或改进 SSI......................... 14 • 如何使用本章节 构建软件安全模型 …….... BSIMM 纵向研究................. 图表、图形和记分卡...................... 垂直行业比较............................................ 119 项 BSIMM 活动一览表................................. • SSI 文化 • 沿途的路标 • 发展治理导向的 SSI • 发展工程导向的文化 • 发展工程导向的 SSI 第二部分:BSIMM10 BSIMM10 框架 ............................................... 27 BSIMM10 轮廓................................................ 28 BSIMM10 为我们揭示了什么........................ 32 BSIMM10 与垂直行业分析............................. 35 BSIMM10 数据揭示的新兴趋势 ..................... 39 BSIMM10 示例公司记分卡....................................... BSIMM10 记分卡 ..........................

pdf文档 BSIMM 软件安全构建成熟度模型

文档预览
中文文档 92 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共92页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
BSIMM 软件安全构建成熟度模型  第 1 页 BSIMM 软件安全构建成熟度模型  第 2 页 BSIMM 软件安全构建成熟度模型  第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-14 12:51:04上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言