Synopsys veröffentlicht BSIMM10-Studie, in der die Auswirkungen von DevOps auf die Software-Sicherheit hervorgehoben werden

20171108_synopsys_coverityfeat

Singapur, @mcgallen #microwireinfo, 19. September 2019 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht BSIMM10, die neueste Version des Building Security In Maturity-Modells (BSIMM), mit dem Unternehmen ihre Software-Sicherheitsinitiativen (SSIs) planen, ausführen, ausgereifen und messen können. Synopsys hat das BSIMM in den letzten zehn Jahren in 450 Unternehmen fast 185 Mal verwendet, und diese 10. Iteration spiegelt die in 122 Unternehmen beobachteten Software-Sicherheitsaktivitäten wider. BSIMM10 hebt auch die Auswirkungen von DevOps auf Software-Sicherheitsinitiativen, die Entstehung einer neuen Welle von Sicherheitsanstrengungen im Ingenieurwesen und den Fortschritt von Unternehmen in drei Phasen der Software-Sicherheitsreife hervor. Um den Bericht herunterzuladen, besuchen Sie www.bsimm.com/download.html.


"Seit 2008 ist das BSIMM ein wirksames Instrument, um zu verstehen, wie Unternehmen aller Formen und Größen, einschließlich einiger der fortschrittlichsten Sicherheitsteams der Welt, ihre Software-Sicherheitsstrategien umsetzen", sagte Jim Routh, Leiter Enterprise Information Risikomanagement bei MassMutual. "Die aktuellen BSIMM-Daten spiegeln wider, wie viele Unternehmen ihre Ansätze anpassen, um der neuen Dynamik moderner Entwicklungs- und Bereitstellungspraktiken wie kürzeren Release-Zyklen, verstärktem Einsatz von Automatisierung und softwaredefinierter Infrastruktur Rechnung zu tragen."

BSIMM10 beschreibt die Arbeit von 7,900 Software-Sicherheitsexperten, deren Bemühungen die Sicherheitsanstrengungen von fast 470,000 Entwicklern leiten und maximieren, die an mehr als 173,000 Anwendungen arbeiten. BSIMM10 vertritt Unternehmen in Branchen wie Finanzdienstleistungen, Hightech, unabhängige Softwareanbieter (ISVs), Cloud, Gesundheitswesen, Internet der Dinge (IoT), Versicherungen und Einzelhandel.

Wichtigste Ergebnisse der BSIMM10-Studie:

  • Auswirkungen von DevOps auf die Software-Sicherheit: Die BSIMM-Daten zeigen, dass die DevOps-Bewegung und die Einführung von CI / CD-Tools (Continuous Integration and Continuous Delivery) die Art und Weise beeinflussen, wie Unternehmen mit Software-Sicherheit umgehen. Dies zeigt sich darin, dass das BSIMM drei neue Aktivitäten hinzufügt, die widerspiegeln, wie Unternehmen aktiv daran arbeiten, Sicherheitsaktivitäten zu automatisieren, um der Geschwindigkeit zu entsprechen, mit der ihr Unternehmen Funktionen auf den Markt bringt. BSIMM10 enthält auch aktualisierte Beschreibungen und Beispiele bestehender Aktivitäten, um zu reflektieren, wie sie als Teil moderner DevOps-Organisationen implementiert werden.
  • Die neue Welle der technischen Sicherheitskultur: BSIMM10 ist die erste Studie, die formell Änderungen in der SSI-Kultur widerspiegelt, die in einer neuen Welle von Engineering-gesteuerten Software-Sicherheitsanstrengungen beobachtet wurden, die von unten nach oben in Entwicklungs- und Betriebsteams statt von oben nach unten von einer zentralisierten Software-Sicherheitsgruppe ausgehen. In einigen Organisationen hat eine von Ingenieuren geleitete Sicherheitskultur ihren Kampf überwunden, um sinnvolle Software-Sicherheitsanstrengungen aufzubauen und auszubauen. Diese neue Welle technikgetriebener Sicherheitskultur entsteht als Reaktion auf die Anforderungen moderner Softwarebereitstellungspraktiken wie Agile und DevOps sowie auf unerwünschte Reibungen mit vorhandenen SSIs.
  • Unternehmen verwenden das BSIMM, um ihre Software-Sicherheitsreise zu steuern: BSIMM10 ist die erste Ausgabe, die drei Phasen der SSI-Reife definiert - Auftauchen, Reifen, Optimieren - und beschreibt, wie verschiedene Unternehmen diese normalerweise durchlaufen. Die BSIMM-Daten zeigen, dass sich Unternehmen im Laufe der Zeit nachweislich verbessern und viele einen Reifegrad erreichen, bei dem sie sich auf die Tiefe, Breite und den Umfang der von ihnen durchgeführten Aktivitäten konzentrieren, anstatt immer nach mehr Aktivitäten zu streben.

"Die Führung einer effektiven Software-Sicherheitsinitiative ist eine Herausforderung, und die dramatischen technologischen und organisatorischen Veränderungen durch DevOps und CI / CD machen diese Aufgabe nicht einfacher", sagte Sammy Migues, Principal Scientist bei Synopsys. „Als ein Tool, das sich ständig weiterentwickelt, um die Erfahrungen von Hunderten von Software-Sicherheitsgruppen auf der ganzen Welt widerzuspiegeln, sind das BSIMM und seine Community von unschätzbarem Wert, unabhängig davon, ob Sie gerade erst Ihre Reise beginnen, Ihr Programm optimieren oder sich neuen Herausforderungen stellen möchten . ”

Das BSIMM enthält Daten von Unternehmen, die echte SSIs eingerichtet haben, und quantifiziert das Auftreten von 119 Aktivitäten, um die Gemeinsamkeiten vieler Initiativen sowie die Variationen aufzuzeigen, die jede Initiative einzigartig machen. Die BSIMM-Daten zeigen, dass Initiativen mit hoher Reife gut gerundet sind und zahlreiche Aktivitäten in allen 12 vom Modell beschriebenen Praktiken ausführen. Unternehmen können das BSIMM verwenden, um Initiativen zu vergleichen und festzustellen, welche zusätzlichen Aktivitäten zur Unterstützung ihrer Gesamtstrategien nützlich sein können.

Anerkennungen
Sammy Migues, Principal Scientist at Synopsys, Michael Ware, Managing Principal at Synopsys, and John Steven, Chief Technology Officer at ZeroNorth, authored BSIMM10 after analysing data collected over the past 11 years of software security research. Some of the companies participating in the BSIMM study include: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo, and Zendesk.

Über das BSIMM
Das im Jahr 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Tool zur Messung und Bewertung von Software-Sicherheitsinitiativen. Das BSIMM ist ein datengesteuertes Modell und Messinstrument, das durch sorgfältiges Studium und Analyse von Software-Sicherheitsinitiativen entwickelt wurde. Es enthält reale Daten von mehr als 120 Organisationen. Das BSIMM ist ein offener Standard, der ein Framework enthält, das auf Software-Sicherheitspraktiken basiert und anhand dessen eine Organisation ihre eigenen Bemühungen um Software-Sicherheit bewerten kann. Für weitere Informationen besuchen Sie www.bsimm.com.

Informationen zur Synopsys Software Integrity Group 
Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter https://www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) is the Silicon to Software™ partner for innovative companies developing the electronic products and software applications we rely on every day. As the world’s 15th largest software company, Synopsys has a long history of being a global leader in electronic design automation (EDA) and semiconductor IP and is also growing its leadership in software security and quality solutions. Whether you’re a system-on-chip (SoC) designer creating advanced semiconductors, or a software developer writing applications that require the highest security and quality, Synopsys has the solutions needed to deliver innovative, high-quality, secure products. Learn more at https://www.synopsys.com/.

###