Veröffentlicht am

Kurzfassung des Herausgebers: Einer der Gründervater und Universalgelehrten Amerikas, Benjamin Franklin, sagte einmal: „Sag es mir und ich vergesse, lehre mich und ich erinnere mich vielleicht, aber beziehe mich ein und ich lerne“. Ebenso ist in der immer komplexer werdenden Welt von DevOps und Cybersicherheit, in der neu auftretende und anhaltende Bedrohungen immens sind, das Paradigma „nach links verschieben“, Software von Anfang an richtig und sicher zu gestalten, durchaus sinnvoll. Was können wir dann in Form von BSIMM128 (Building Security in Maturity Model), jetzt in der 12. Auflage, von den Best Practices von 12 führenden Organisationen lernen und übernehmen? Die Freigabe des Anbieters ist unten.

Synopsys veröffentlicht BSIMM12-Studie, die bemerkenswertes Wachstum bei Open-Source-, Cloud- und Container-Sicherheitsbemühungen hervorhebt

Die 12. Iteration des Building Security In Maturity-Modells spiegelt hochkarätige Unterbrechungen der Ransomware und Software-Lieferkette wider, die der Softwaresicherheit eine erhöhte Aufmerksamkeit zukommen lassen.

SINGAPUR, @mcgallen #microwireinfo, 29. September 2021 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht BSIMM12, die neueste Version der Gebäudesicherheit im Reifegradmodell (BSIMM) Bericht, der erstellt wurde, um Unternehmen bei der Planung, Durchführung, Messung und Verbesserung ihrer Softwaresicherheitsinitiativen zu unterstützen. BSIMM12 spiegelt die Software-Sicherheitspraktiken wider, die bei 128 Unternehmen aus mehreren Branchen beobachtet wurden, darunter Finanzdienstleistungen, FinTech, unabhängige Softwareanbieter, Cloud, Gesundheitswesen und Internet der Dinge. BSIMM12 beschreibt die Arbeit von fast 3,000 Software-Sicherheitsgruppenmitgliedern und über 6,000 Satellitenmitgliedern. Das BSIMM wird von Organisationen auf der ganzen Welt als Maßstab verwendet, um ihre eigenen Initiativen mit den Daten der breiteren BSIMM-Community zu vergleichen und zu vergleichen.

BSIMM12-Daten zeigen einen Anstieg von 61 % bei der Identifizierung und Verwaltung von Open Source durch Software-Sicherheitsgruppen in den letzten zwei Jahren, was mit ziemlicher Sicherheit auf die Verbreitung von Open-Source-Komponenten in moderner Software und die Zunahme von Angriffen mit populären Open-Source-Projekten als Vektoren zurückzuführen ist.

Die Zunahme der Aktivitäten im Zusammenhang mit Cloud-Plattformen und Container-Technologien zeigt die dramatischen Auswirkungen dieser Technologien auf die Art und Weise, wie Unternehmen Software verwenden und sichern. Beispielsweise stiegen die Beobachtungen zur „Verwendung von Orchestrierung für Container und virtualisierte Umgebungen“ in den letzten zwei Jahren um 560 %.

„In den letzten 18 Monaten erlebten Unternehmen eine massive Beschleunigung der Initiativen zur digitalen Transformation. Dies hat zu einer verstärkten Akzeptanz von softwaredefinierten Ansätzen für die Bereitstellung und Verwaltung von Softwareumgebungen und Cloud-Technologie-Stacks geführt“, sagte Mike Ware, Information Security Principal bei der Navy Federal Credit Union, einer Mitgliedsorganisation der BSIMM-Community. „Angesichts der Komplexität und des Tempos dieser Änderungen war es für Sicherheitsteams noch nie so wichtig, über die Tools zu verfügen, die es ihnen ermöglichen, ihre Position zu verstehen und eine Referenz dafür zu haben, wo sie als nächstes ansetzen sollten. Das BSIMM ist ein Verwaltungstool, das einem solchen Zweck dient. Das BSIMM bietet einen einzigartigen Einblick in die Art und Weise, wie Unternehmen Strategien zur Implementierung softwaredefinierter Sicherheitsfunktionen wie Richtlinien als Code ändern, um sie an modernen Softwareentwicklungsprinzipien und -praktiken auszurichten.“

„Die BSIMM-Studie ermöglicht es Unternehmen, ihre aktuellen Sicherheitspraktiken zu vergleichen, um Prioritäten zu setzen und die Perspektive als Reaktion auf die aufkommenden Trends in der Sicherheitslandschaft zu wahren“, sagte Mathieu Chevalier, Lead Security Architect, Genetec Inc., eine Mitgliedsorganisation der BSIMM-Community. „Das beschreibende Modell des BSIMM hilft Unternehmen, den Einstieg in den Aufbau einer Software-Sicherheitsinitiative zu bestimmen und diese effektiv zu reifen. Insbesondere die Beobachtungen von BSIMM12 zu Modellen mit geteilter Verantwortung sollten Sicherheitsverantwortliche ermutigen, darüber nachzudenken, wie sie sich weiterentwickeln, um potenzielle Lücken in ihrer Sicherheitsstrategie zu schließen und zu schließen.“

„Die BSIMM-Studie ist im Hinblick auf den Zugang zu Best Practices der Branche sehr ausgerichtet. Es kann verwendet werden, um den Reifegrad einer Vielzahl von Entwicklungssicherheitsaktivitäten zu verstehen, die in mehreren Entwicklungsteams beobachtet werden“, sagte Todd Wiedman, CISO bei Landis+Gyr, einer Mitgliedsorganisation der BSIMM-Community. „Mit sich schnell beschleunigenden Softwareentwicklungspraktiken veranschaulichen BSIMM12-Daten die tatsächlichen Veränderungen, die in Sicherheitsentwicklungsprogrammen stattfinden. Mit diesen Informationen können Unternehmen ihre eigenen Strategien zum Schutz ihres Unternehmens und ihrer Kunden anpassen, ohne die Innovation zu dämpfen.“

„Im Rahmen unseres Produkt- und Datensicherheitsprogramms haben wir das BSIMM-Framework verwendet, um uns bei der Weiterentwicklung unserer Sicherheitsstrategie zu unterstützen“, sagte Vinod Raghavan, Direktor, Produkt- und Datensicherheitsprogramm bei Finastra, einer Mitgliedsorganisation der BSIMM-Community. „Es hat uns dabei geholfen, uns mit anderen Organisationen in der Finanzdienstleistungsbranche und anderen Branchen zu vergleichen und die Sicherheitsreife zu unterstützen.“

Neue Trends in BSIMM12

  • Aufsehenerregende Ransomware- und Software-Lieferkettenunterbrechungen lenken die Aufmerksamkeit auf die Softwaresicherheit. In den letzten zwei Jahren zeigen BSIMM-Daten einen Anstieg der Aktivität „Open Source identifizieren“ um 61 % und bei den teilnehmenden Organisationen einen Anstieg der Aktivität „Erstellen von SLA-Boilerplates“ um 57 %.
  • Unternehmen lernen, Risiken in Zahlen umzuwandeln. Unternehmen unternehmen mehr Anstrengungen, um ihre Daten zu Softwaresicherheitsinitiativen zu sammeln und zu veröffentlichen, was sich in einem 30-prozentigen Anstieg der Aktivität „Daten über Softwaresicherheit intern veröffentlichen“ in den letzten 24 Monaten zeigt.
  • Erhöhte Fähigkeiten für Cloud-Sicherheit. Die erhöhte Aufmerksamkeit der Führungskräfte, wahrscheinlich in Verbindung mit ingenieursgetriebenen Bemühungen, hat auch dazu geführt, dass Unternehmen ihre eigenen Fähigkeiten für das Management der Cloud-Sicherheit entwickelt und ihre Modelle mit geteilter Verantwortung bewertet haben. In den letzten zwei Jahren gab es durchschnittlich 36 neue Beobachtungen bei Aktivitäten, die typischerweise mit der Cloud-Sicherheit zusammenhängen.
  • Sicherheitsteams verleihen DevOps-Praktiken Ressourcen, Personal und Wissen.BSIMM-Daten zeigen eine Verschiebung von Software-Sicherheitsgruppen weg von der Vorgabe von Software-Sicherheitsverhalten und hin zu einer partnerschaftlichen Rolle – Bereitstellung von Ressourcen, Personal und Wissen für DevOps-Praktiken mit dem Ziel, Sicherheitsbemühungen in den kritischen Pfad der Softwarebereitstellung einzubeziehen.
  • Die Aktivitäten im Bereich Software-Stücklisten stiegen um 367%. BSIMM-Daten zeigen eine Zunahme der Fähigkeiten, die sich auf die Inventarisierung von Software konzentrieren; Erstellen einer Software-Stückliste (BOM); Verstehen, wie die Software erstellt, konfiguriert und bereitgestellt wurde; und Erhöhen der Fähigkeit der Organisation zur erneuten Bereitstellung basierend auf Sicherheitstelemetrie. Als Beweis dafür, dass sich viele Unternehmen die Notwendigkeit einer umfassenden, aktuellen Software-Stückliste zu Herzen genommen haben, wuchs die BSIMM-Aktivität in Bezug auf diese Fähigkeiten („Erweiterung des Anwendungsinventars mit Betriebsstückliste“) in der Vergangenheit von 3 auf 14 Beobachtungen zwei Jahre – ein Anstieg von 367%.
  • „Nach links verschieben“ wird zu „Überall verschieben“. Das Konzept von „Shift left“ konzentriert sich darauf, Sicherheitstests früher im Entwicklungsprozess zu verschieben. „Überall verschieben“ erweitert die Idee um kontinuierliche Sicherheitstests während des gesamten Softwarelebenszyklus, einschließlich kleinerer, schnellerer, Pipeline-gesteuerter Sicherheitstests, die zum frühestmöglichen Zeitpunkt durchgeführt werden, während des Designs oder sogar während der Produktion.

Die Abkehr von der Pflege traditioneller Betriebsinventare und hin zur automatisierten Asset-Erkennung und Erstellung von Stücklisten umfasst das Hinzufügen von „Shift-Überall“-Aktivitäten wie die Verwendung von Containern zur Durchsetzung von Sicherheitskontrollen, Orchestrierung und das Scannen der Infrastruktur als Code. Erhöhte BSIMM-Beobachtungsraten von Aktivitäten wie „Verbessern des Anwendungsinventars mit Betriebsstücklisten“, „Verwenden von Orchestrierung für Container und virtualisierte Umgebungen“ und „Überwachen der automatisierten Asset-Erstellung“ zeigen alle diesen Trend.

„Seit 2008 sammeln BSIMM-Beratungs-, Forschungs- und Datenexperten Daten zu den verschiedenen Wegen, die Unternehmen bei der Bewältigung der Herausforderungen der Softwaresicherung einschlagen“, sagte Jason Schmitt, General Manager der Synopsys Software Integrity Group. „Mit einem Durchschnittsalter von 4.4 Jahren spiegeln die Software-Sicherheitsinitiativen der am BSIMM teilnehmenden Unternehmen wider, wie Unternehmen ihre Ansätze anpassen, um der neuen Dynamik moderner Entwicklungs- und Bereitstellungspraktiken gerecht zu werden. Mit diesen Informationen können Unternehmen dann ihre eigenen Strategien zum Schutz ihres Unternehmens und ihrer Kunden anpassen, ohne die Innovation zu dämpfen.“

Um mehr zu erfahren, laden Sie die . herunter BSIMM12-Einblicke und -Trends. Für eine interaktive Diskussion der wichtigsten Ergebnisse von BSIMM12, Melden Sie sich für unser Webinar am 21. Oktober an.

Anerkennungen

Sammy Migues, leitender Wissenschaftler bei Synopsys, Eli Erlikhman, geschäftsführender Direktor bei Synopsys, Jacob Ewers, leitender Sicherheitsberater bei Synopsys, und Kevin Nassery, Direktor für Anwendungssicherheit bei Gemini, verfassten BSIMM12 nach der Analyse von Daten, die in fast 13 Jahren Softwaresicherheitsforschung gesammelt wurden. Einige der an der BSIMM-Studie teilnehmenden Unternehmen sind: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+ Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

Über das BSIMM

Das im Jahr 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Tool zum Erstellen, Messen und Bewerten von Software-Sicherheitsinitiativen. BSIMM200 ist ein datengesteuertes Modell und Messinstrument, das durch sorgfältige Untersuchung und Analyse von über 11 Software-Sicherheitsinitiativen entwickelt wurde. Es enthält aktuelle, reale Daten von 128 Organisationen. Das BSIMM ist ein offener Standard, der ein auf Software-Sicherheitspraktiken basierendes Framework enthält, mit dem ein Unternehmen seine eigenen Anstrengungen im Bereich der Software-Sicherheit bewerten und ausbauen kann. Für weitere Informationen besuchen Sie www.bsim.com.

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S & P 500-Unternehmen ist Synopsys seit langem ein weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und bietet das branchenweit breiteste Portfolio an Tools und Services für Tests zur Anwendungssicherheit. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter herstellt, oder ein Softwareentwickler, der sichereren und qualitativ hochwertigen Code schreibt, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###