在几个月前，我们报道了描述性安全模型BSIMM8（https://mp.weixin.qq.com/s/4ae4gMDfk6uST6xiC5_ucw）。如今，BSIMM已经从第八版升级到了第九版BSIMM9。BSIMM的模型是随观测数据不断进行升级改变的，那这次的升级有了哪些变化，又有哪些新的发现呢？

总览

为了确保时效性，BSIMM9剔除了时间超过42个月的评估结果。因此，目前的BSIMM9是由来自120家企业的320次评估构成。120家企业总共来自八个不同的垂直行业：金融服务业、独立软件供应商、技术行业、医疗保健行业、云计算行业、物联网行业、保险行业以及零售行业——其中，零售行业是BSIMM9当中新加入的垂直行业。
BSIMM9总共有116项评估活动，相比BSIMM8新增了三项活动。

发现

1. 云计算转型：BSIMM9中新增了三项新活动，而这三项新活动是基于企业正在向云端软件转型。从之前的观察结果发现，独立软件供应商、物联网公司以及云计算公司中观察到的的活动开始趋同，表明通用云架构需要类似的软件安全方法。

2. 零售业：电子商务的转型依然在大范围进行中。为了维持在线业务的发展，零售业也需要开始注重安全性。因此，在BSIMM9中，专门新增了零售业的垂直行业。

3. 群体增长：相比BSIMM8，BSIMM9所涵盖的开发人员数量增长了43%，其评估的软件安全从业人员数量增长了65%。

4. SSG（软件安全小组）：SSG负责实施和推动软件安全工作的内部工作小组。BSIMM9数据池中的120家企业一致认为，他们的软件安全计划的成功主要依赖于SSG。SSG的平均规模为13.3人，平均占开发团队之间的比例为1.33%。

新增活动

根据以上的四个发现，BSIMM9增加了以下三个评估活动以及安全牛分别的解读：

1. 对容器和虚拟化环境使用编排功能：BSIMM9的文件中提到“编排流程可以利用内置的和附加的安全控件来确保每个已部署的容器和虚拟机都满足预先规定的安全要求。集中设置安全性行为有助于在需求出现时进行快速更改”。

编排与自动响应是未来安全发展的一个趋势。仅仅靠人力来处理复杂的工作显然低效并且容易出错。对于企业而言，需要更高效、更规范的安全基线，来保证系统的安全要求以及面临异常时的处理能力。

2. 通过运营材料列表来增强应用管理：企业需要为所有生产软件制作一份清单，载明其组件、依赖关系、配置、外部服务等，这也有助于企业保护其所有内容。随着攻击者和攻击的演变，随着合规性要求的变化，随着待修补项目的数量变得非常庞大，企业需要能够敏捷地做出反应。了解正在运行的软件中的所有组件，无论它们是处于私有数据中心、处于云端还是作为实体产品，都将能够在异常发生时及时做出响应。 这一点上强调了企业需要对自己的生产资产有一个明确的认知与追踪。传统意义上，企业可能只关注于实体资产的情况，而虚拟资产可能由于难以清点以及变化较快等原因，被企业所忽视。但是，虚拟资产作为生产资产中的重要部分，也恰恰隐藏了大量的安全隐患。企业如果无法知晓自己资产的情况，就很容易无法迅速应对威胁或者无法对事件进行追溯问责。

3. 确保云安全基础能力：企业必须有人来保证云部署也满足了基本要求。在日益“由软件定义”的世界中，企业至少必须明确地实施安全性功能和控件（其中有一些可能是内置的），其程度应当与电缆和物理硬件建设的安全性程度不相上下。

云端的效果越来越大，那么对于云端的安全要求自然也会更高。对于云安全而言，一大问题就是云安全的责任方——是企业自身还是云服务提供商？但是对于企业自身而言，显然不该对云安全完全撒手不管，确保云安全的基础能力是企业的责任。

对于企业而言，实施安全防护是一种情况，但是了解自己的安全防护的状态也很重要。仅仅是靠制定规则显然是不足的，企业需要了解自己在安全开发中所在的位置，并且同样根据大环境的变化来斟酌自己的安全体系是否需要变化。在这个情况下，企业需要带有描述性，同时又会根据分析结果不断变化的安全模型。

BSIMM9的报告可以从以下地址下载：https://www.bsimm.com/zh-cn/download.html