Trong những năm gần đây, tốc độ phát triển phần mềm đã thay đổi đáng kể. Các tổ chức liên tục đưa ra phiên bản mới của ứng dụng để đáp ứng nhu cầu kinh doanh và chuyển đổi số. Song song với đó, sự xuất hiện của AI hỗ trợ lập trình, sự mở rộng của chuỗi cung ứng phần mềm và các yêu cầu tuân thủ ngày càng nghiêm ngặt đang đặt ra nhiều thách thức mới cho đội ngũ phát triển và an ninh thông tin.
Trong bối cảnh đó, nhiều lãnh đạo công nghệ và CISO đặt ra một câu hỏi quan trọng: một chương trình bảo mật phần mềm trưởng thành thực sự cần được xây dựng như thế nào để vừa đảm bảo tốc độ phát triển, vừa giảm thiểu rủi ro bảo mật.
Câu trả lời phần nào được thể hiện trong báo cáo Building Security in Maturity Model 16, viết tắt là BSIMM16 do Black Duck công bố. Đây là một trong những báo cáo có ảnh hưởng lớn trong lĩnh vực bảo mật ứng dụng, cung cấp góc nhìn dựa trên dữ liệu thực tế từ các tổ chức đang vận hành chương trình bảo mật phần mềm trên quy mô lớn.
BSIMM – thước đo thực tế của chương trình bảo mật phần mềm
Khác với nhiều framework bảo mật được xây dựng theo hướng lý thuyết hoặc khuyến nghị, BSIMM được phát triển dựa trên việc quan sát và phân tích các hoạt động bảo mật thực tế tại doanh nghiệp. Thay vì đưa ra những yêu cầu bắt buộc, BSIMM ghi nhận các hoạt động mà nhiều tổ chức đang triển khai trong chương trình Software Security Initiative của họ.
Thông qua quá trình phỏng vấn, thu thập bằng chứng và so sánh giữa các tổ chức, báo cáo BSIMM cho thấy cách các chương trình bảo mật phần mềm được xây dựng, vận hành và cải tiến theo thời gian. Nhờ đó, các doanh nghiệp có thể sử dụng BSIMM như một thước đo để hiểu rõ vị trí của mình so với các tổ chức khác trong cùng ngành.
Phiên bản BSIMM16 tổng hợp dữ liệu từ hơn một trăm tổ chức thuộc nhiều lĩnh vực khác nhau, bao gồm công nghệ, tài chính, viễn thông và các doanh nghiệp lớn. Từ dữ liệu này, báo cáo phản ánh rõ cách các chương trình bảo mật phần mềm đang thay đổi để thích ứng với môi trường phát triển hiện đại.
AI đang thay đổi cách tổ chức quản lý bảo mật phần mềm
Một trong những xu hướng đáng chú ý được đề cập trong BSIMM16 là sự tác động của AI đối với quá trình phát triển phần mềm. Các công cụ hỗ trợ lập trình dựa trên AI đang giúp tăng tốc quá trình viết mã, nhưng đồng thời cũng đặt ra những rủi ro mới liên quan đến chất lượng mã nguồn và bảo mật.
Theo quan sát trong báo cáo, nhiều tổ chức đã bắt đầu mở rộng các chính sách quản trị và quy trình kiểm tra bảo mật để bao gồm cả mã nguồn được tạo bởi AI. Điều này cho thấy các doanh nghiệp không coi AI là một yếu tố hoàn toàn tách biệt, mà đang dần tích hợp việc quản lý rủi ro AI vào các chương trình bảo mật phần mềm hiện có.
Chuỗi cung ứng phần mềm và vai trò của SBOM
Một xu hướng khác được nhấn mạnh trong BSIMM16 là sự gia tăng của Software Bill of Materials (SBOM). Khi phần mềm ngày càng phụ thuộc nhiều vào các thư viện và thành phần mã nguồn mở, việc hiểu rõ cấu trúc của chuỗi cung ứng phần mềm trở nên quan trọng hơn bao giờ hết.
Nhiều tổ chức đã bắt đầu tích hợp SBOM vào quy trình phát triển và triển khai phần mềm để theo dõi các thành phần phụ thuộc, đánh giá rủi ro từ bên thứ ba và phản ứng nhanh hơn khi xuất hiện các lỗ hổng bảo mật mới. Ban đầu, việc triển khai SBOM chủ yếu xuất phát từ yêu cầu tuân thủ, đặc biệt trong các dự án liên quan đến chính phủ. Tuy nhiên, theo BSIMM16, SBOM đang dần trở thành một thực hành phổ biến trong các chương trình bảo mật phần mềm trưởng thành.
Đào tạo bảo mật đang dịch chuyển vào quy trình phát triển
Báo cáo cũng chỉ ra rằng cách các tổ chức đào tạo về bảo mật phần mềm đang thay đổi. Trước đây, việc đào tạo thường diễn ra dưới dạng các khóa học định kỳ dành cho lập trình viên. Tuy nhiên, mô hình này không còn phù hợp với môi trường phát triển phần mềm tốc độ cao.
Các tổ chức có mức độ trưởng thành cao đang chuyển sang cách tiếp cận mới, trong đó kiến thức bảo mật được tích hợp trực tiếp vào quy trình phát triển. Lập trình viên có thể tiếp cận hướng dẫn thiết kế an toàn, các mẫu kiến trúc bảo mật và tài liệu hướng dẫn ngay tại thời điểm họ cần. Cách tiếp cận này giúp giảm khoảng cách giữa lý thuyết và thực tế, đồng thời nâng cao hiệu quả của chương trình bảo mật.
Vai trò của BSIMM trong việc xây dựng chiến lược bảo mật ứng dụng
Một trong những giá trị lớn nhất của BSIMM nằm ở việc cung cấp một góc nhìn khách quan về cách các tổ chức đang triển khai bảo mật phần mềm trong thực tế. Khi doanh nghiệp muốn cải thiện năng lực bảo mật ứng dụng, việc thay đổi thường không diễn ra trong một sớm một chiều. Các tổ chức cần dữ liệu và kinh nghiệm thực tiễn để xác định hướng đi phù hợp.
BSIMM giúp các đội ngũ an ninh thông tin và lãnh đạo công nghệ hiểu rõ những hoạt động nào đang được áp dụng rộng rãi, từ đó xây dựng lộ trình phát triển chương trình bảo mật phần mềm dựa trên những gì đã được kiểm chứng trong thực tế.
Tại Việt Nam, ASIC Cybersecurity hiện là đơn vị phân phối các giải pháp bảo mật ứng dụng của Black Duck, hỗ trợ doanh nghiệp triển khai các công cụ và phương pháp hiện đại nhằm nâng cao năng lực bảo mật phần mềm trong môi trường DevSecOps.
Các giải pháp của Black Duck giúp tổ chức phát hiện và quản lý rủi ro từ mã nguồn mở, kiểm soát chuỗi cung ứng phần mềm và tích hợp các hoạt động bảo mật vào toàn bộ vòng đời phát triển ứng dụng. Khi kết hợp với các mô hình tham chiếu như BSIMM, doanh nghiệp có thể xây dựng một chương trình bảo mật phần mềm trưởng thành, phù hợp với tốc độ phát triển và yêu cầu bảo mật ngày càng cao.
Trong bối cảnh phần mềm ngày càng trở thành nền tảng của hoạt động kinh doanh, việc hiểu và áp dụng các thực hành bảo mật hiệu quả không chỉ giúp giảm thiểu rủi ro mà còn góp phần xây dựng niềm tin đối với khách hàng và đối tác. BSIMM16 vì vậy không chỉ là một báo cáo nghiên cứu, mà còn là nguồn tham khảo quan trọng cho các tổ chức đang muốn nâng cao năng lực bảo mật ứng dụng trong thời đại phát triển phần mềm hiện đại.
