Überprüfen Sie die DevSecOps Ihres Unternehmens anhand der 11. Ausgabe von BSIMM

markus-spiske-qjnAnF0jIGk-unsplash

Kurzbeschreibung des Herausgebers: Wenn Sie DevOps in Ihrem Unternehmen ausführen, ist es unerlässlich, gleichzeitig Softwarequalität und -sicherheit zu gewährleisten, insbesondere gegenüber der heutigen Welt der Bedrohungsakteure, die in jeden Knoten, jede Software oder jedes System eindringen. Die 11. Ausgabe von BSIMM (Building Security In Maturity Model) oder BSIMM11 spiegelt eine Topographie von 130 Unternehmen aus Branchen wie Finanzdienstleistungen, Fintech, ISVs, Cloud, Gesundheitswesen, IoT und Einzelhandel wider. Die Pressemitteilung des Anbieters finden Sie weiter unten.

Synopsys veröffentlicht BSIMM11-Studie, in der grundlegende Veränderungen bei Software-Sicherheitsinitiativen als Reaktion auf DevOps und digitale Transformation hervorgehoben werden

em> Die 11. Iteration des Modells "Building Security In Maturity" spiegelt wider, wie Unternehmen ihre Software-Sicherheitsanstrengungen anpassen, um moderne Softwareentwicklungsparadigmen zu unterstützen

SINGAPUR, @mcgallen #microwireinfo, 16. September 2020-Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht BSIMM11, die neueste Version der Gebäudesicherheit im Reifegradmodell (BSIMM), erstellt, um Organisationen bei der Planung, Ausführung, Messung und Verbesserung ihrer Software-Sicherheitsinitiativen (SSIs) zu unterstützen. BSIMM11 spiegelt die Software-Sicherheitspraktiken wider, die in 130 Unternehmen aus verschiedenen Branchen beobachtet wurden, darunter Finanzdienstleistungen, FinTech, unabhängige Softwareanbieter, Cloud, Gesundheitswesen, Internet der Dinge, Versicherungen und Einzelhandel. BSIMM11 beschreibt die Arbeit von 8,457 Software-Sicherheitsexperten, die die Bemühungen von über 490,000 Entwicklern leiten.

BSIMM wird von Organisationen als Messstab verwendet, um ihre eigenen Initiativen mit den Daten der breiteren BSIMM-Community zu vergleichen und gegenüberzustellen. BSIMM11 zeigt, dass viele Unternehmen ihre Software-Sicherheitsanstrengungen anpassen, um die digitale Transformation und moderne Softwareentwicklungsparadigmen wie DevOps zu unterstützen.

"Das BSIMM ist eine hervorragende Ressource für Sicherheitsverantwortliche, die daran interessiert sind, aus den kollektiven Erfahrungen ihrer Kollegen zu lernen, insbesondere um neue oder aufkommende Herausforderungen zu lösen", sagte er Mike Newborn, CISO der Navy Federal Credit Union, einer Mitgliedsorganisation der BSIMM-Community. „Heute stehen die meisten Unternehmen vor der Herausforderung, ein wachsendes Portfolio an Anwendungen vor dem Hintergrund sich schnell entwickelnder und beschleunigter Softwareentwicklungspraktiken zu sichern. BSIMM11 spiegelt wider, wie viele dieser Unternehmen ihre Software-Sicherheitsstrategien anpassen, um sich und ihre Kunden zu schützen, ohne Innovationen zu behindern oder die Entwicklungsgeschwindigkeit zu beeinträchtigen. “

Neue Trends in BSIMM11

  • Von der Technik geleitete Software-Sicherheitsanstrengungen tragen erfolgreich zu DevOps-Wertströmen bei, um die Ausfallsicherheit zu gewährleisten. BSIMM11 zeigt, dass CI / CD-Instrumentierung und Operations Orchestration zu Standardkomponenten der Software-Sicherheitsinitiativen vieler Unternehmen geworden sind und Einfluss darauf haben, wie sie organisiert, entworfen und ausgeführt werden. Beispielsweise berichten Software-Sicherheitsteams zunehmend an einen Technologiekonzern oder CTO (im Gegensatz zu einem IT-Sicherheitsteam oder CISO) und ändern die Art und Weise, wie sie Talente intern einstellen und organisieren.
  • Softwaredefinierte Sicherheitsgovernance ist nicht mehr nur ein Ziel. Unternehmen ersetzen einige reibungslose Out-of-Band-Sicherheitsaktivitäten durch automatisierte Aktivitäten, die durch Ereignisse in der CI / CD-Pipeline-Ausführung ausgelöst werden. Die Konvertierung menschlicher Prozesse und Entscheidungen in Algorithmen ist eine der Möglichkeiten, mit denen Unternehmen zunehmend auf Ressourcenbeschränkungen und Trittfrequenzmanagementprobleme reagieren. 
  • "Verschiebung nach links" wird zu "Verschiebung überall". Die Umsetzung des Konzepts „Linksverschiebung“ hat sich von der wörtlichen Interpretation der Durchführung einiger Sicherheitstests zu Beginn des Entwicklungszyklus zur Durchführung von Sicherheitsaktivitäten entwickelt, sobald die zu überprüfenden Artefakte verfügbar sind. Das könnte links von dem Ort bedeuten, an dem Aktivitäten in der Vergangenheit durchgeführt wurden, aber oft rechts davon, auch in der Produktion.
  • Einführung von FinTech vertikal in den BSIMM-Datenpool. Bei sorgfältiger Prüfung des wachsenden Datenpools von Unternehmen in der Finanzbranche wurde deutlich, dass eine separate Branche hinzugefügt werden muss, um Unternehmen zu berücksichtigen, die effektiv ISVs speziell für Finanzdienstleistungssoftware sind.

"Die Art und Weise, wie moderne Software erstellt und bereitgestellt wird, hat sich in den letzten Jahren dramatisch verändert. Daher ändern sich natürlich auch die Anstrengungen zur Sicherung dieser Software", sagte Michael Ware, BSIMM-Co-Autor und Senior Director of Technology bei Synopsys. „Unternehmen sind in hohem Maße von Software abhängig, und moderne Methoden haben die Entwicklungsgeschwindigkeit beschleunigt. Infolgedessen gibt es überall mehr Software, und wir müssen uns immer noch um die gesamte bereits vorhandene Software kümmern. Als Modell, das sich ständig weiterentwickelt, um die tatsächlichen Praktiken darzustellen, die von Hunderten von Software-Sicherheitsgruppen auf der ganzen Welt angewendet werden - einschließlich einiger der fortschrittlichsten Teams der Welt -, bietet das BSIMM eine nahezu Echtzeit-Ansicht darüber, wie diese Änderungen aussehen implementiert, um die wachsenden Software-Portfolios zu schützen. “

Neue Aktivitäten im BSIMM bedeuten eine Verlagerung in Richtung DevSecOps

Die drei Aktivitäten, die zu BSIMM10 hinzugefügt wurden, verzeichneten im vergangenen Jahr ein außergewöhnliches Wachstum (SM3.4 Integrieren der softwaredefinierten Lifecycle Governance, AM3.3 Überwachen der automatisierten Erstellung von Assets, CMVM3.5 Automatisieren der Überprüfung der Sicherheit der betrieblichen Infrastruktur). Dies zeigt, wie einige Unternehmen aktiv daran arbeiten, die Software-Sicherheitsanstrengungen zu beschleunigen, um sie an das Tempo der Softwarebereitstellung anzupassen. Darüber hinaus stellen die beiden in BSIMM11 hinzugefügten Aktivitäten eine Fortsetzung dieses Trends dar (ST3.6 Implementierung ereignisgesteuerter Sicherheitstests, CMVM3.6 Veröffentlichung von Risikodaten für bereitstellbare Artefakte).

BSIMM branchenübergreifend

BSIMM bietet einzigartige, datengesteuerte Einblicke in das Verständnis und den Vergleich der relativen Stärken und Schwächen von Software-Sicherheitsinitiativen in einer Vielzahl von Branchen. Cloud-, Internet of Things- und High-Tech-Unternehmen sind drei der ausgereiftesten Branchen im BSIMM11-Datenpool. BSIMM11 hebt auch die Unterschiede zwischen drei stark regulierten Branchen hervor: Finanzdienstleistungen, Gesundheitswesen und Versicherungen. In der Finanzdienstleistungsbranche, in der früher als in anderen Branchen Software-Sicherheitsgruppen eingerichtet waren, wurden im Vergleich zu ihren Kollegen im Gesundheits- und Versicherungswesen ausgereiftere Praktiken festgestellt. Zum ersten Mal präsentiert das BSIMM Daten zur FinTech-Branche und stellt fest, dass es ziemlich genau mit Finanzdienstleistungen übereinstimmt, wobei die primären Deltas (zugunsten von FinTech) in den Schulungs-, Sicherheitstest- und Codeüberprüfungspraktiken auftreten.

Lesen Sie das BSIMM11 Digest oder laden Sie die vollständige BSIMM11-Studie.

Melden Sie sich für unser Live-Webinar am 11. Oktober an, um eine Live-Diskussion über die wichtigsten Ergebnisse in BSIMM15 zu erhalten. BSIMM11: Die Entwicklung von DevSecOps

Anerkennungen

Sammy Migues, Hauptwissenschaftler bei Synopsys, Michael Ware, Senior Director of Technology bei Synopsys, und John Steven, Gründungsdirektor bei Aedify Security, haben BSIMM11 verfasst, nachdem sie Daten analysiert hatten, die in fast 12 Jahren Software-Sicherheitsforschung gesammelt wurden. Einige der an der BSIMM-Studie teilnehmenden Unternehmen sind: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO-Finanzgruppe, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depotbank & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Globale Zahlungen, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JP Morgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC-Plattformen, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Hauptfinanzgruppe , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, das Home Depot, die Vanguard Group, Trainline, Trane, die US-Bank, Veritas, Verizon, Verizon Media, Wells Fargo und Zendesk.

Über das BSIMM

Das im Jahr 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Tool zum Erstellen, Messen und Bewerten von Software-Sicherheitsinitiativen. BSIMM200 ist ein datengesteuertes Modell und Messinstrument, das durch sorgfältige Untersuchung und Analyse von über 11 Software-Sicherheitsinitiativen entwickelt wurde. Es enthält aktuelle, reale Daten von 130 Organisationen. Das BSIMM ist ein offener Standard, der ein auf Software-Sicherheitspraktiken basierendes Framework enthält, mit dem ein Unternehmen seine eigenen Anstrengungen im Bereich der Software-Sicherheit bewerten und ausbauen kann. Für weitere Informationen besuchen Sie www.bsimm.com.

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###