BSIMM8-Studie verstärkt Benchmarking als kritische Übung in frühen Stadien von Software-Sicherheitsinitiativen

20171009_snps_bsimmballoons

Die neueste Version des Modells für Gebäudesicherheit in der Reife, die erstmals in APAC veröffentlicht wurde, zeigt, dass mehr Unternehmen ihre Software-Sicherheitsinitiativen mit Bewertungen starten und sich im Laufe der Zeit verbessern

Singapur, @mcgallen #microwireinfo, 9. Oktober 2017 - Synopsys, Inc. (Nasdaq: SNPS) wurde veröffentlicht BSIMM8, die neueste Version eines führenden Reifegradmodells für die Software-Sicherheit, das auf realen Daten basiert und Unternehmen bei der Planung, Ausführung und Messung ihrer Software-Sicherheitsinitiativen (SSIs) unterstützt. Die achte Iteration des BSIMM-Modells (Building Security in Maturity Model), das erstmals in APAC veröffentlicht wurde, basiert auf Daten, die von der bislang größten Community gesammelt wurden. BSIMM8 zeigt, dass Software-Sicherheit zu einer entscheidenden Geschäftspriorität wird, da immer mehr Unternehmen ihre Bemühungen zu Beginn ihres SSI-Lebenszyklus bewerten und die Ergebnisse strategisch nutzen, um ihre Risikostellung im Laufe der Zeit zu verbessern. Um den Bericht herunterzuladen, besuchen Sie https://www.bsimm.com/download.html.

"Mit dem Aufkommen weit verbreiteter und zunehmend störender Angriffe auf anfällige Software sehen wir eine Verschiebung vom reaktiven" Penetrate and Patch "-Ansatz hin zu proaktiveren Strategien, die es Unternehmen ermöglichen, sichere Software systematisch von Grund auf zu erstellen", sagte Dr. Gary McGraw, Vizepräsident für Sicherheitstechnologie bei Synopsys. "Unternehmen beginnen zu verstehen, dass sie Risiken effektiver mindern können, indem sie eine Software-Sicherheitsinitiative einrichten, ihre Stärken und Schwächen frühzeitig mithilfe von Instrumenten wie dem BSIMM bewerten und ihre Bemühungen auf die am besten geeigneten Praktiken und Aktivitäten konzentrieren."

BSIMM8 enthält Daten von 109 Unternehmen und beschreibt die Arbeit von 4,769 Software-Sicherheitsexperten. Es zeigt die Wissenschaft hinter den Best Practices für Software-Sicherheit. Ihre Arbeit leitet und maximiert die Sicherheitsanstrengungen von fast 300,000 Entwicklern in ungefähr 95,000 Anwendungen. BSIMM8-Unternehmen repräsentieren Branchen wie Finanzdienstleistungen, unabhängige Softwareanbieter (ISVs), Cloud, Gesundheitswesen, Internet der Dinge (IoT) und Versicherungen.

Wichtigste Ergebnisse der BSIMM8-Studie:

  • Organisationen verwenden das BSIMM, um ihre SSIs zu starten. BSIMM8 führt Unternehmen in den frühen Stadien des SSI-Lebenszyklus ein, was sich in einem leichten Rückgang des durchschnittlichen Reifegrad-Scores1 (33.1 gegenüber 33.9 in BSIMM7) und des durchschnittlichen Alters der Software-Sicherheitsgruppe (3.88 Jahre gegenüber 3.94 in BSIMM7) des BSIMM-Bevölkerung. SSI-Benchmarking ist einer der wichtigsten ersten Schritte auf dem Weg zur Software-Sicherheit.
  • BSIMM-Firmen reifen im Laufe der Zeit. Unternehmen, die an mehreren BSIMM-Bewertungen teilgenommen haben, weisen einen deutlichen Verbesserungstrend auf, wobei die Werte um durchschnittlich 10.3 oder 33.4 Prozent steigen. Benchmarking ist eine effektive Übung, um Unternehmen auf dem optimalen Weg zum konsistenten Aufbau sicherer Software zu führen.
  • Die Reife variiert je nach Branche. Jede Branche priorisiert bestimmte Aktivitäten vor anderen, und jede Branche und jedes einzelne Unternehmen hat einen anderen Weg, um Sicherheit aufzubauen. Im Durchschnitt sind Cloud-, Finanzdienstleistungs- und ISV-Unternehmen reifer als Unternehmen aus den Bereichen Gesundheitswesen, IoT und Versicherungen. Finanzdienstleister und Cloud-Unternehmen weisen in Bezug auf Compliance- und Richtlinienpraktiken deutlich höhere Werte auf, während IoT-Unternehmen die ausgereiftesten Praktiken für Softwareumgebungen aufweisen.

Laut Gartner erfordert „Anwendungssicherheit einen strukturierten, programmatischen Ansatz, um mit dem scheinbaren Chaos neuer Technologien und einer sich entwickelnden Bedrohungslandschaft fertig zu werden. Ein erfolgreiches Anwendungssicherheitsprogramm muss eine ausgewogene Kombination aus Personen, Prozessen und Technologie sein. “2

Das BSIMM beobachtet Unternehmen, die echte Software-Sicherheitsinitiativen eingerichtet haben, und quantifiziert das Auftreten von 113 Aktivitäten, um die Gemeinsamkeiten vieler Initiativen sowie die Variationen aufzuzeigen, die jede Initiative einzigartig machen. Die BSIMM-Daten zeigen, dass Initiativen mit hoher Reife gut gerundet sind und zahlreiche Aktivitäten in allen 12 vom Modell beschriebenen Praktiken ausführen. Unternehmen können das BSIMM verwenden, um Initiativen zu vergleichen und festzustellen, welche zusätzlichen Aktivitäten nützlich sein könnten.

Anerkennungen
Dr. McGraw analysierte zusammen mit Sammy Migues, Hauptwissenschaftler bei Synopsys, und Jacob West, Chefarchitekt bei NetSuite, die Daten, die in den letzten neun Jahren der Software-Sicherheitsforschung gesammelt wurden. Zu den an den Bewertungen teilnehmenden Unternehmen gehören: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO-Finanzgruppe, Black Knight Financial Services, Box, Kanadische Handelsbank, Capital One, City National Bank, Cisco , Citigroup, Citizen's Bank, Comerica Bank, Kryptographieforschung (ein Geschäftsbereich von Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JP Morgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Hauptfinanzgruppe, Qualcomm, Royal Bank of Canada, Wissenschaftliche Spiele, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Ziel, TD Ameritrade, Beirat, Home Depot, Vanguard Group, Trainline, Trane, US Ba nk, Veritas, Verizon, Wells Fargo, Zendesk und Zephyr Health.

1. Der BSIMM-Score spiegelt die Gesamtzahl der Software-Sicherheitsaktivitäten wider, die bei der Bewertung der Software-Sicherheitsinitiative eines Unternehmens beobachtet wurden. Jede Aktivität ist einen Punkt wert und das BSIMM-Framework umfasst 113 Aktivitäten.

2. Quelle: Gartner, „Ein Leitfaden für die Einrichtung und Reifung eines Anwendungssicherheitsprogramms“, 23. Dezember 2016, Michael Isbitski & Ramon.

Über das BSIMM
Das 2008 gestartete BSIMM-Modell (Building Security in Maturity Model) ist ein Tool zur Messung und Bewertung von Software-Sicherheitsinitiativen. Das BSIMM ist ein datengesteuertes Modell- und Messwerkzeug, das durch sorgfältiges Studium und Analyse von Software-Sicherheitsinitiativen entwickelt wurde. Es enthält reale Daten von mehr als 100 Organisationen. Das BSIMM ist ein offener Standard, der ein Framework enthält, das auf Software-Sicherheitspraktiken basiert und anhand dessen eine Organisation ihre eigenen Bemühungen um Software-Sicherheit bewerten kann. Für weitere Informationen besuchen Sie https://www.bsimm.com.

Informationen zur Synopsys Software Integrity Platform
Synopsys bietet die umfassendste Lösung für die Integration von Integrität - Sicherheit und Qualität - in den Lebenszyklus und die Lieferkette der Softwareentwicklung. Die Software Integrity Platform vereint führende Testtechnologien, automatisierte Analysen und Experten, um ein robustes Portfolio an Produkten und Dienstleistungen zu erstellen. Mit diesem Portfolio können Unternehmen personalisierte Programme entwickeln, um Fehler und Schwachstellen frühzeitig im Entwicklungsprozess zu erkennen und zu beheben, das Risiko zu minimieren und die Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer für Tests zur Anwendungssicherheit, ist in einer einzigartigen Position, um Best Practices an neue Technologien und Trends wie IoT, DevOps, CI / CD und die Cloud anzupassen und anzuwenden. Weitere Informationen finden Sie unter www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###