解读安全软件开发大一统框架SSDF – 作者:安恒风暴中心

文 | 安恒信息

NIST于2020年4月23日发布了安全软件开发框架（SSDF）白皮书，该框架新颖的方法能帮助其成功吗？

我们已经有了PCI DSS（支付卡行业数据安全标准），BSIMM（软件构建安全成熟度模型），OWASP（开放Web应用安全项目），SAMM（软件保证成熟度模型），ISO（国际标准化组织），SAFECode（代码精进软件保障论坛）等不胜枚举的框架和标准，为什么还需要一个新的框架？

该框架包含了19项实践，分为4个类别：

• 组织准备

• 软件保护

• 生产安全软件

• 响应脆弱性报告

该框架白皮书宣称“可以帮助软件厂商减少发布的软件漏洞的数量，减少漏检或尚未解决的漏洞被利用的潜在影响，并解决安全漏洞的根本原因，以防止其今后再次发生。软件的用户可以重用并适应他们的软件采购过程中的实践”。

建议而非强制项

这些实践项目都非常值得尝试，有谁不想减轻软件漏洞的风险呢？这个框架听上去就像一个交通法规，只是用来控制车辆在公路上的行驶速度，可这样的法律法规已经以书本的形式存在了几十年了。

NIST作为一个标准化组织，而不是监管机构，不具备强制合规的权力，所以这些实践项目仅仅是建议，而不是强制实施的。

该框架的目标并不是试图另起炉灶，更多的是把各类高品质的轮子放到了一个框架里面，这样需要轮子的人可以比较方便和清晰地进行决策，而不是花费力气去进行收集和评估工作。在前述大量的现存标准和框架的现实情况下，该框架的确起到了填补空白的作用。

整合软件安全最佳实践

实际上，框架中的实践项目大量引用了前述的多种框架中的最佳实践，并在其基础上进行了整合。

该白皮书共同作者之一，Murugiah Souppaya，供职于信息技术实验室（NIST）的计算机安全部，谈到“白皮书提供了在不同业务部门和世界各地的组织之间，方便并且一致地进行安全的软件开发实践而使用的通用语言，它能够映射并且统一描述现有的行业具体的实践“。

他补充说，这种“通用语言”是为了帮助他们形容自己目前的实践。“这将帮助他们建立更标准化的基准，并确定需要改进的地方”。

迄今为止的框架都没有最终达成软件安全的目标，每天仍然都有关于软件漏洞被利用而造成大量经济损失的头条新闻。所以即使NIST的安全软件开发框架是目前最好的一个，可如果开发组织没有投资足够的时间和金钱来遵循建议，它也不可能如预期的产生在软件安全方面的改进。

任重道远

打破这一现状的可能性有多大？短期内希望不大。在Sammy Migues看来。

Migues，Synopsys公司的首席科学家和BSIMM的共同作者，他表示，这并不意味着所提出的NIST SSDF没有潜在价值。“该框架在组织承担合规审计相关的任务时，可以发挥其作用。”

Migues指出，NIST“不制定法律法规，它是一个鼓励和促进创新的组织。所以除非有权力机关主导其实施，否则很难得到快速的普及”。

在公共和企业市场上，如果该框架能构成为合同标书的一部分，那么该框架就能发挥出足够的影响力。

陈规难改

即使是在快速发生变化的IT行业，仍然有大量的人墨守成规抗拒改变，对新事物的负面态度成为框架落地的一大难点。

“提案中有大量我感兴趣的东西，比如其中有如何实现一个支持工具链。不仅仅是下载一些免费工具，而是如何把它们投入到实际生产任务中去。这些是真正有用的部分。”他说。

“但每一个开发经理都有他或她做事的方式。你认为其中的任何人会在看到这些后说，“哇。我已经做了20年，并且一直做错了！我需要推翻重来？“。这在实际组织中是不可能发生的。

SSDF鼓励增量的方式进行改进

不过，如果这个框架能够在教育或者培训系统中通过增量的方式进行改进，随着时间的推移将对整个安全开发行业产生深刻的改变。

它并没有商业组织的背景，而是一个中立的第三方。如果它进入了课本、大学课程和项目招标书，那么它将能够产生牵引监管机构的作用。

NIST希望它的安全软件开发框架的“高层次”抽象的做法将使其在不同规模和不同行业的组织间拥有最广泛的受众。“最重要的是落地实践，而不是简单用来合规。例如，一个组织可以自动化流程执行特定步骤，而另一个可能使用手工流程。”白皮书谈到。

为此，Souppaya补充说NIST SSDF的目的是“由不同部门和各组织定制最适合自己的风险，情况和需求组织将有不同的软件开发方法，不同的编程语言以及不同的工具链等”。

NIST SSDF如何落地

Migues同意灵活性是非常重要的说法，的确完成工作比工作怎么被完成更重要。但他同时表示，许多企业可能面临的问题还是不知道“怎么做”。

“现在缺少的是类似于研讨会的机制，像在RSA上首席信息安全官们进行的圆桌谈话，将指导用户如何根据自己的需要来做到这一点”他说。“因为我买了朱莉娅儿童食谱但并不意味着我可以做的出上面的美食。”

该框架后续的工作正在进行中，白皮书称自己为一个“起点”，他们打算扩大到涵盖的主题包括“SSDF可能会如何适用于并针对不同的软件开发方法”

在今后的工作中，他们说“将采取更多的案例的形式，这样的成果会更容易落地于某些特定类型的开发场景。”

总结

这篇文章重点谈了SSDF的发展面临的一些问题，不过这些问题是具有普遍性的，比如资源保障，非强制性等，SSDF并不是一个个例。

总结一下，相对于其他的规范，NIST推出SSDF的确有3个独到之处：第一就是整合现存的成功标准进行了更全面和高层的抽象，减少使用单一标准或者框架覆盖不充分并且能充分利用现有规范的成果而不是重复建设进行改进；第二是充分的灵活性，对实践项目在不同规模和行业组织的落地提供了多种选项；第三是供应商中立，消除供应商锁定的风险。

对国内企业或者组织来讲，SSDF的价值在于提供了一个更高层的目标和实施路径，对已经落地的某项标准或者框架的组织来讲，横向覆盖同类标准是事倍功半，而基于SSDF可以显著提高ROI，案例也会具有标杆作用。另外如文中提到的，适合在教育，培训和招标参数中的落地，可以比现有标准更好的消除商业上的风险。

来源：freebuf.com 2020-09-24 15:39:26 by: 安恒风暴中心