Veröffentlicht am

Singapur, @mcgallen #microwireinfo, 19. September 2019 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht BSIMM10, die neueste Version des Building Security In Maturity Model (BSIMM), das Organisationen dabei helfen soll, ihre Software-Sicherheitsinitiativen (SSIs) zu planen, auszuführen, auszureifen und zu messen. Synopsys hat das BSIMM in den letzten zehn Jahren fast 450 Mal in 185 Unternehmen eingesetzt, und diese 10. Iteration spiegelt die Softwaresicherheitsaktivitäten wider, die in 122 Unternehmen beobachtet wurden. BSIMM10 hebt auch die Auswirkungen von DevOps auf Software-Sicherheitsinitiativen, das Aufkommen einer neuen Welle von Engineering-getriebenen Sicherheitsbemühungen und den Fortschritt von Unternehmen durch drei Phasen der Software-Sicherheitsreife hervor. Um den Bericht herunterzuladen, besuchen Sie www.bsim.com/download.html.


"Seit 2008 ist das BSIMM ein wirksames Instrument, um zu verstehen, wie Unternehmen aller Formen und Größen, einschließlich einiger der fortschrittlichsten Sicherheitsteams der Welt, ihre Software-Sicherheitsstrategien umsetzen", sagte Jim Routh, Leiter Enterprise Information Risikomanagement bei MassMutual. "Die aktuellen BSIMM-Daten spiegeln wider, wie viele Unternehmen ihre Ansätze anpassen, um der neuen Dynamik moderner Entwicklungs- und Bereitstellungspraktiken wie kürzeren Release-Zyklen, verstärktem Einsatz von Automatisierung und softwaredefinierter Infrastruktur Rechnung zu tragen."

BSIMM10 beschreibt die Arbeit von 7,900 Software-Sicherheitsexperten, deren Bemühungen die Sicherheitsanstrengungen von fast 470,000 Entwicklern leiten und maximieren, die an mehr als 173,000 Anwendungen arbeiten. BSIMM10 vertritt Unternehmen in Branchen wie Finanzdienstleistungen, Hightech, unabhängige Softwareanbieter (ISVs), Cloud, Gesundheitswesen, Internet der Dinge (IoT), Versicherungen und Einzelhandel.

Wichtigste Ergebnisse der BSIMM10-Studie:

  • Auswirkungen von DevOps auf die Software-Sicherheit: Die BSIMM-Daten zeigen, dass die DevOps-Bewegung und die Einführung von CI / CD-Tools (Continuous Integration and Continuous Delivery) die Art und Weise beeinflussen, wie Unternehmen mit Software-Sicherheit umgehen. Dies zeigt sich darin, dass das BSIMM drei neue Aktivitäten hinzufügt, die widerspiegeln, wie Unternehmen aktiv daran arbeiten, Sicherheitsaktivitäten zu automatisieren, um der Geschwindigkeit zu entsprechen, mit der ihr Unternehmen Funktionen auf den Markt bringt. BSIMM10 enthält auch aktualisierte Beschreibungen und Beispiele bestehender Aktivitäten, um zu reflektieren, wie sie als Teil moderner DevOps-Organisationen implementiert werden.
  • Die neue Welle der technischen Sicherheitskultur: BSIMM10 ist die erste Studie, die formell Änderungen in der SSI-Kultur widerspiegelt, die in einer neuen Welle von Engineering-gesteuerten Software-Sicherheitsanstrengungen beobachtet wurden, die von unten nach oben in Entwicklungs- und Betriebsteams statt von oben nach unten von einer zentralisierten Software-Sicherheitsgruppe ausgehen. In einigen Organisationen hat eine von Ingenieuren geleitete Sicherheitskultur ihren Kampf überwunden, um sinnvolle Software-Sicherheitsanstrengungen aufzubauen und auszubauen. Diese neue Welle technikgetriebener Sicherheitskultur entsteht als Reaktion auf die Anforderungen moderner Softwarebereitstellungspraktiken wie Agile und DevOps sowie auf unerwünschte Reibungen mit vorhandenen SSIs.
  • Unternehmen verwenden das BSIMM, um ihre Software-Sicherheitsreise zu steuern: BSIMM10 ist die erste Ausgabe, die drei Phasen der SSI-Reife definiert - Auftauchen, Reifen, Optimieren - und beschreibt, wie verschiedene Unternehmen diese normalerweise durchlaufen. Die BSIMM-Daten zeigen, dass sich Unternehmen im Laufe der Zeit nachweislich verbessern und viele einen Reifegrad erreichen, bei dem sie sich auf die Tiefe, Breite und den Umfang der von ihnen durchgeführten Aktivitäten konzentrieren, anstatt immer nach mehr Aktivitäten zu streben.

„Die Leitung einer effektiven Softwaresicherheitsinitiative ist eine Herausforderung, und die dramatischen technologischen und organisatorischen Veränderungen, die durch DevOps und CI/CD verursacht werden, machen diese Aufgabe nicht einfacher“, sagte Sammy Migues, Principal Scientist bei Synopsys. „Als Werkzeug, das sich ständig weiterentwickelt, um die Erfahrungen von Hunderten von Software-Sicherheitsgruppen auf der ganzen Welt widerzuspiegeln, sind das BSIMM und seine Community unschätzbare Ressourcen, egal ob Sie Ihre Reise gerade erst beginnen, Ihr Programm optimieren möchten oder sich mit neuen Herausforderungen auseinandersetzen .“

Das BSIMM enthält Daten von Unternehmen, die echte SSIs eingerichtet haben, und quantifiziert das Auftreten von 119 Aktivitäten, um die Gemeinsamkeiten vieler Initiativen sowie die Variationen aufzuzeigen, die jede Initiative einzigartig machen. Die BSIMM-Daten zeigen, dass Initiativen mit hoher Reife gut gerundet sind und zahlreiche Aktivitäten in allen 12 vom Modell beschriebenen Praktiken ausführen. Unternehmen können das BSIMM verwenden, um Initiativen zu vergleichen und festzustellen, welche zusätzlichen Aktivitäten zur Unterstützung ihrer Gesamtstrategien nützlich sein können.

Anerkennungen
Sammy Migues, leitender Wissenschaftler bei Synopsys, Michael Ware, Geschäftsführer bei Synopsys, und John Steven, Chief Technology Officer bei ZeroNorth, verfassten BSIMM10 nach der Analyse von Daten, die in den letzten 11 Jahren der Softwaresicherheitsforschung gesammelt wurden. Einige der an der BSIMM-Studie teilnehmenden Unternehmen sind: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Wissenschaftliche Spiele, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Wells Fargo und Zendesk.

Über das BSIMM
Das im Jahr 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Tool zur Messung und Bewertung von Software-Sicherheitsinitiativen. Das BSIMM ist ein datengesteuertes Modell und Messinstrument, das durch sorgfältiges Studium und Analyse von Software-Sicherheitsinitiativen entwickelt wurde. Es enthält reale Daten von mehr als 120 Organisationen. Das BSIMM ist ein offener Standard, der ein Framework enthält, das auf Software-Sicherheitspraktiken basiert und anhand dessen eine Organisation ihre eigenen Bemühungen um Software-Sicherheit bewerten kann. Für weitere Informationen besuchen Sie www.bsim.com.

Über die Synopsys Softwareintegritätsgruppe 
Synopsys Die Software Integrity Group hilft Entwicklungsteams, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter https://www.synopsys.com/software.

Über mypinio Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als weltweit 15. größtes Softwareunternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und baut seine Führungsposition im Bereich Softwaresicherheit und Qualitätslösungen weiter aus. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter https://www.synopsys.com/.

###