杨国梁-从安全意识构建到应用安全落地（24页）.pdf

1、从安全意识构建到应用安全落地杨国梁杨国梁高级安全架构师高级安全架构师新思科技软件质量与安全部门新思科技软件质量与安全部门2021年年5月月14日日 2021 Synopsys,Inc.2Synopsys Confidential Information对比N款工具择其一使用需要解决某类问题或困难没毛病不叫事甲方乙方ProductSellingSolutionSellingAwarenesseducation合理必要效 2021 Synopsys,Inc.3Synopsys Confidential Information必要 2021 Synopsys,Inc.4Synopsys Confid

2、ential Information 2021 Synopsys,Inc.5Synopsys Confidential Information指导性模型Prescriptive Models Prescriptive models describe what you should do.SAFECodeSAMMSDLTouchpoints Every firm has a methodology they follow(often a hybrid).You need an SSDL.描述性模型Descriptive Models Descriptive models describe wha

3、t is actually happening.The BSIMM is a descriptive model that can be used to measure any number of prescriptive SSDLs.2021 Synopsys,Inc.6Synopsys Confidential InformationBSIMM观察、评估和描述企业的观察、评估和描述企业的SSI真实的状态真实的状态数百家企业的真实实践，基于科学的观点为企业的软件安全方案提供指导参考定期评估您的软件安全方案免费及开放的标准，广泛适用于各行业，可以评估任一软件安全方案 2021 Synopsys

4、,Inc.7Synopsys Confidential Information项目产品线项目产品线安全高管软件安全部（SSG）编码人员架构设计人员安全测试培训制定/执行流程制定管理供应商控制应急响应。Satellite项目产品线SatelliteSatelliteSatellite开发人员测试人员架构师安全人员Gartner:Security Champion 2021 Synopsys,Inc.8Synopsys Confidential Information 2021 Synopsys,Inc.9Synopsys Confidential InformationBSIMM9更新 新增加三

5、个安全活动：SE3.5:0对容器和虚拟化环境使用编排功能对容器和虚拟化环境使用编排功能 SE3.6:0 通过运营物料清单来增强应用库存盘通过运营物料清单来增强应用库存盘点点 SE3.7:0确保具备云安全基础能力确保具备云安全基础能力 ISV/IOT/Cloud 公司观测到的安全活动开始趋同，表明云架构体系需要类似的软件安全方案。云安全相关的活动接受度极高，云端软件安全正在成为主流。SE3.5 5,122,BSIMM10,22,130,BSIMM11 SE3.6 3,122,BSIMM10,12,130,BSIMM11 SE3.7 9,122,BSIMM10,36,130,BSIMM11 SE3

6、.7 SE2.6 加入新行业-零售。116 activities 2021 Synopsys,Inc.10Synopsys Confidential InformationBSIMM10更新 新增加三个安全活动：SM3.4:0 集成软件定义生命周期治理集成软件定义生命周期治理 AM3.3:0 监控自动资产创建活动监控自动资产创建活动 CMVM3.5:0 自动验证运营基础架构的安全性自动验证运营基础架构的安全性 改变两项安全活动：T1.6 创建并使用与企业具体历史相关的材料 T 1.6:26 T 2.8:28 SR2.3 为技术栈制定标准 SR2.3:23SR3.4:24 DevOps对软件安全