BSIMM是一种度量软件是否安全的尺度,可以通过BSIMM标准实现BSIMM本身的安全开发建设。软件安全框架:支承BSIMM的基础建设由12个实践模块组成,分为4个领域,分为4个部分;
软件安全小组:内部工作小组,其职责是执行和推进软件安全工作;软件安全计划:一个涉及整个组织机构的项目,该项目旨在以一种协调的方式进行软件安全活动的灌输、评估、管理和发展。4个领域12种软件安全框架实践模式:
控制:帮助组织、管理和评估软件安全计划的实践,人员培训是控制领域的一个核心实践。
信息:将企业的知识集中到一起进行软件安全活动的实践,前瞻性的安全指导和威胁建模都属于这个领域。
sdl接触点:分析和保证具体软件开发工作和过程中的相关实践。
部署:处理传统网络安全和软件维护组织的实践,软件配置、维护和其他环境问题,直接影响软件安全。
安全工程能力建设中常见问题的解决方案,存在的问题1:业务上线时间紧,压力大,修复安全漏洞占用时间过长,影响业务上线进度。为了避免安全工作成为开发的瓶颈,应尽可能将安全测试技术与现有系统结合起来。比如,在IDE上直接融合SpotBugs插件,开发者在编译时会得到修改漏洞源代码的提示;在管理第三方组件漏洞时将BlackDuck与Maven仓库结合起来,业务人员无需干预就能解决Java库的安全问题;在向GitLab提交源代码时,加入Gitrob,以便自动扫描密钥、密码等敏感信息,从而避免泄漏;在CI平台上融合FacebookInfer,比如Jenkins,以形成扫描集群,以自动检测源代码漏洞,并编写Python脚本,将漏洞信息发送到JIRA,提醒研发人员进行修复,跟踪漏洞修复进程。
第二个问题:关于安全漏洞的错误报告。
自动安全测试系统在使用过程中可能会出现误报问题,针对此问题可设计误报反馈功能,组建专职安全团队,提供安全技术支持,使之参与到检测规则的不断优化中来,经过几轮迭代后,基本可以解决误报问题。问题三:公司对员工的工作没有量化指标,部分研发人员的责任感不强,对漏洞的修复态度漠不关心,从而留下了很多安全隐患。制定相关的漏洞修复流程体系,将源代码质量与KPI联系起来,对存在安全隐患的员工按照出现的漏洞等级进行处罚。配合质量保证小组定期发送项目质量报告,最后将安全漏洞数据汇总到源代码质量管理平台。在KPI指标中设置漏洞修复,以提高开发者修复安全漏洞的积极性。安全计划和需求往往会对企业的发展造成阻碍。
在安全方案和需求的设计中,安全团队不应以省时省事,少负责任为出发点,这样会妨碍业务的发展,降低效率。安全方案和需求集,应该是既能保证安全又能减少甚至不减少业务发展,这样的方案和需求才能被业务和开发运营团队所接受。