来自 数据 2021-12-14 00:08 的文章

网站防护_高防ddos怎么打_无限

网站防护_高防ddos怎么打_无限

BSIMM是一项针对软件行业的实际软件安全计划(报告中的"SSI")的年度研究,它借鉴了来自130个组织的数据和经验。这句话没有重复研究的目的,而是最好地总结了它:"BSIMM是软件安全性的测量标尺。使用它的最佳方法是将您自己的计划与其他组织正在做什么的数据进行比较和对比。您可以确定自己的目标和目标,然后参考BSIMM确定哪些附加活动对您有意义。……在快速变化的软件安全领域,ddos防御方式,了解大多数、一些和少数其他组织在其SSI中所做的工作可以直接为您自己的战略提供信息。"–执行摘要,BSIMM11。 "量尺"是这里的关键术语。BSIMM是一种衡量你的立场和制定你想去哪里的计划的方法。这是一种软件组织比较他们与同行公司的表现,以及"讨论、实施、衡量、报告和改进"的方法BSIMM11框架BSIMM被组织成多个域和安全实践,这些域和实践包含组成安全框架的许多活动。如下所示:来源:BSIMM11–第二部分–BSIMM11框架BSIMM的成熟度模型方面意味着改进和优化,在这种情况下,它概述了SSI将属于的关键实践领域,随着公司从临时方法转向更具战略意义的方法,它们将沿着成熟度规模前进。在BSIMM中,这些被定义为新兴的、成熟的和优化的,研究指出,这些不一定是线性的,并且可能不会最终处于优化状态。对于这篇文章,我不打算深入探讨所有这些问题,集群高防cdn,但显然有一些实践,其中SAST(静态应用程序安全性测试)和SCA(软件组合分析)发挥了作用,然后,只是简单地介绍了标准和需求(SR)、代码评审(CR)和安全性测试(ST)。SAST和SCA在BSIMM11中的作用BSIMM中的建议明确了工具和自动化在安全性方面起着重要的支持作用,实践成熟度包括对它们的更复杂的使用。从治理导向的入门检查表来看,它包括第2个"清单软件",SCA的重要角色,5,"do defect discovery",它意味着检测和发现现有的漏洞,其中SAST、SCA和其他发现工具起着重要作用。第六个是"选择安全控制",包括设置安全编码标准,以及检测和预防高风险安全漏洞的优先顺序。第7个是"重复",这意味着自动化(包括工具)、周期性过程和DevSecOps的采用,例如,所有现代工具都需要与之集成。尽管这些都是工具使用之外的指导原则,但很明显,在安全实践成熟度方面有着重要的作用。在标准和需求(SR)实践中,新出现的实践包括安全标准,这些标准可能意味着对已开发软件的某些限制,以减少漏洞。成熟的实践确定了开源的使用,以确定它们的风险和暴露。优化公司正在使用和实施安全的编码标准,控制开源风险,保护他们的软件供应链。还要考虑代码评审(code review,CR)接触点:BSIMM注意到,新兴的实践是采用SAST与手动评审一起工作。成熟的做法是使用定制的规则,并将目标漏洞组织到前N个列表中(如他们自己的OWASP或CWE列表)。在优化阶段,组织追求消除关键漏洞类型,自动检测恶意代码并强制执行编码标准(所有这些都是SAST发挥重要作用的)您可以看到,实践中的成熟度与工具使用的成熟度一致。软件资产的库存在多个位置(如上所述,在入门指南中)以及对软件供应链的监控和执行策略进行了强调。例如,包括开源软件在内的第三方软件应被视为可能的攻击面(AM 1.3)。SCA在创建软件物料清单和暴露供应链中已知漏洞方面起着重要作用。成熟的公司正在优化SAST、SCA很明显,工具在安全实践成熟度中起着重要的作用,尽管它实际上是关于组织的改进,但在工具有意义的地方,对工具的最佳使用是其中一个重要部分。随着实践的成熟,棋牌ddos防御,这些公司能够有效地提高工具的价值和投资回报率。BSIMM指出了一些公司的主题,这些公司正在朝着优化实践和实现软件实践成熟的方向发展。毫不奇怪,SAST和SCA在这些类别中都有各自的角色(当然还有其他工具)软件供应链管理:成熟的组织意识到他们的软件不是孤立开发的,并且依赖于许多第三方软件栈。了解真正的软件物料清单是至关重要的,因为代码中隐藏的依赖关系来自组织外部。随着流程的成熟,高防cdn价格,他们开始在软件供应链上使用相同的安全实践。首要风险降低:优先考虑安全改进工作是关键,成熟的公司正在创建自己的漏洞目标列表。这些有针对性的漏洞可用于优化和优化如何优化SAST和SCA以及对哪些警告采取行动。工具定制:这说明了这一点,成熟的公司正在根据他们的需要定制工具。就SAST工具而言,更复杂的使用包括定制的检查程序和规则集,它们在工具使用方面提供了最佳的ROI。反馈循环:SAST工具提供了重要的度量标准以及产品质量和安全性的通用度量。开发人员桌面上的SAST对新引入的漏洞提供即时反馈。SCA软件中的bill CD和SCA监控软件的漏洞提供了宝贵的反馈。数据收集提供改进趋势和关注领域。数据驱动治理:扩展SAST和SCA工具提供的反馈,基于每个构建创建的数据提供了产品状态的持续晴雨表。对这些数据进行趋势分析,可以指出特定类型的漏洞和软件特定区域的相对风险水平。聪明的团队正在使用这些数据来推动每次迭代的测试和安全关注。在需要符合特定标准的产品中,SAST工具生成所需的报告,以帮助实现审核和法规遵从性的成功。SCA工具帮助团队在其依赖的软件中检测到新的漏洞时监控第三方软件的风险。显然,ddos防御安全用智能,随着一个组织在安全实践方面的成熟,其工具的使用和复杂程度都会增加。他们还越来越多地使用这些工具中的数据来推动决策,从而提高生产率,因为资源集中在正确的地方。摘要BSIMM11报告对软件行业中最先进的安全实践提供了有趣的见解。它还概述了一个框架,该框架基于对处于成熟阶段的公司的观察,供组织遵循那些希望使其实践成熟的人。自动化和工具在支持更成熟的过程中起着重要的作用,公司使用工具的方式也更先进。SAST和SCA工具在软件安全性改进中扮演着重要的角色,BSIMM表明随着组织的成熟,越来越多的工具集成到安全实践中。在高级静态分析方面,检测和预防安全漏洞会将安全改进从左侧转移到开发人员的桌面上。SCA工具有助于清点软件堆栈并识别供应链中的风险区域。这些工具在现有工作流中的集成和自定义程度不断提高,表明其使用更加成熟。