Publicado el

Resumen del editor: Uno de los padres fundadores y erudito de Estados Unidos, Benjamín Franklin, dijo una vez: "Dime y lo olvido, enséñame y puedo recordar, pero involúcrame y aprendo". Del mismo modo, en el mundo cada vez más complejo de DevOps y la ciberseguridad, donde las amenazas emergentes y en curso son inmensas, el paradigma de “cambio a la izquierda” de diseñar software correctamente y seguro desde el principio tiene mucho sentido. Entonces, ¿qué podemos aprender y adoptar de las mejores prácticas de 128 organizaciones de luminarias, en la forma de BSIMM12 (Building Security in Maturity Model), ahora en la duodécima edición en ejecución? El comunicado del proveedor se encuentra a continuación.

Synopsys publica el estudio BSIMM12 que destaca un crecimiento notable en los esfuerzos de seguridad de código abierto, nube y contenedores

La duodécima iteración del modelo Building Security In Maturity refleja las interrupciones de la cadena de suministro de software y ransomware de alto perfil que impulsan una mayor atención en la seguridad del software.

SINGAPUR, @mcgallen #microwireinfo, 29 de septiembre de 2021 , Synopsys, Inc. (Nasdaq: SNPS) publicado hoy BSIMM12, la última versión del Construcción de seguridad en el modelo de madurez (BSIMM) informe, creado para ayudar a las organizaciones a planificar, ejecutar, medir y mejorar sus iniciativas de seguridad de software. BSIMM12 refleja las prácticas de seguridad de software observadas en 128 empresas de múltiples verticales de la industria, incluidos servicios financieros, FinTech, proveedores de software independientes, nube, atención médica e Internet de las cosas. BSIMM12 describe el trabajo de casi 3,000 miembros del grupo de seguridad de software y más de 6,000 miembros satélite. El BSIMM es utilizado por organizaciones de todo el mundo como una vara de medir para comparar y contrastar sus propias iniciativas con los datos de la comunidad BSIMM en general.

Los datos de BSIMM12 indican un aumento del 61% en la identificación y gestión de código abierto de los grupos de seguridad de software en los últimos dos años, casi con certeza debido a la prevalencia de componentes de código abierto en el software moderno y al aumento de ataques que utilizan proyectos populares de código abierto como vectores.

El crecimiento de las actividades relacionadas con las plataformas en la nube y las tecnologías de contenedores muestra el impacto dramático que estas tecnologías han tenido en la forma en que las organizaciones utilizan y protegen el software. Por ejemplo, las observaciones de “orquestación de uso para contenedores y entornos virtualizados” aumentaron un 560% en los últimos dos años.

“Durante los últimos 18 meses, las organizaciones experimentaron una aceleración masiva de las iniciativas de transformación digital. Esto ha resultado en una mayor adopción de enfoques definidos por software para implementar y administrar entornos de software y pilas de tecnología en la nube ”, dijo Mike Ware, director de seguridad de la información de Navy Federal Credit Union, una organización miembro de la comunidad BSIMM. “Dada la complejidad y el ritmo de estos cambios, nunca ha sido más importante para los equipos de seguridad tener las herramientas que les permitan comprender dónde se encuentran y tener una referencia sobre dónde deberían girar a continuación. El BSIMM es una herramienta de gestión para este propósito. El BSIMM proporciona una perspectiva única sobre cómo las organizaciones están cambiando las estrategias para implementar características de seguridad definidas por software, como la política como código, para alinearse con los principios y prácticas de desarrollo de software moderno ”.

"El estudio BSIMM permite a las organizaciones comparar sus prácticas de seguridad actuales para que puedan establecer prioridades y mantener la perspectiva en respuesta a las tendencias emergentes en el panorama de la seguridad", dijo Mathieu Chevalier, arquitecto principal de seguridad de Genetec Inc., una organización miembro de la Comunidad BSIMM. “El modelo descriptivo de BSIMM ayuda a las organizaciones a determinar cómo comenzar a construir una iniciativa de seguridad de software y madurarla de manera efectiva. Las observaciones de BSIMM12 sobre los modelos de responsabilidad compartida en particular deberían alentar a los líderes de seguridad a considerar cómo están evolucionando para satisfacer y mitigar cualquier brecha potencial en su estrategia de seguridad ".

“El estudio BSIMM está muy alineado en términos de acceso a las mejores prácticas de la industria. Se puede utilizar para comprender el nivel de madurez en una variedad de actividades de seguridad de desarrollo como se observa en múltiples equipos de desarrollo ”, dijo Todd Wiedman, CISO de Landis + Gyr, una organización miembro de la comunidad BSIMM. “Con las prácticas de desarrollo de software que se aceleran rápidamente, los datos de BSIMM12 ilustran los cambios reales que tienen lugar en los programas de desarrollo de seguridad. Con esta información, las organizaciones pueden adaptar sus propias estrategias para proteger a su organización y a sus clientes sin frenar la innovación ".

"Como parte de nuestro Programa de seguridad de datos y productos, hemos estado utilizando el marco BSIMM para ayudarnos a avanzar en nuestra estrategia de seguridad", dijo Vinod Raghavan, director del Programa de seguridad de datos y productos de Finastra, una organización miembro de la comunidad BSIMM. "Ha sido fundamental para ayudarnos a compararnos con otras organizaciones tanto en servicios financieros como en otras industrias, lo que respalda la madurez de la seguridad".

Tendencias emergentes en BSIMM12

  • Las interrupciones de la cadena de suministro de software y ransomware de alto perfil están dirigiendo una mayor atención a la seguridad del software. Durante los últimos dos años, los datos de BSIMM muestran un aumento del 61% en la actividad de "identificar código abierto" y un aumento del 57% en la actividad de "crear plantillas de SLA" entre las organizaciones participantes.
  • Las empresas están aprendiendo a traducir el riesgo en números. Las organizaciones están haciendo un mayor esfuerzo para recopilar y publicar los datos de sus iniciativas de seguridad de software, demostrado por un aumento del 30% de la actividad de “publicar datos sobre seguridad de software internamente” durante los últimos 24 meses.
  • Mayor capacidad para la seguridad en la nube. La mayor atención de los ejecutivos, probablemente combinada con los esfuerzos impulsados ​​por la ingeniería, también ha dado como resultado que las organizaciones desarrollen sus propias capacidades para administrar la seguridad en la nube y evaluar sus modelos de responsabilidad compartida. Hubo un promedio de 36 nuevas observaciones durante los últimos dos años en actividades típicamente relacionadas con la seguridad en la nube.
  • Los equipos de seguridad están prestando recursos, personal y conocimientos a las prácticas de DevOps.Los datos de BSIMM muestran un cambio por parte de los grupos de seguridad de software de los comportamientos obligatorios de seguridad del software y hacia un rol de asociación: proporcionar recursos, personal y conocimiento a las prácticas de DevOps con el objetivo de incluir los esfuerzos de seguridad en la ruta crítica para la entrega de software.
  • Las actividades de Lista de materiales de software aumentaron en un 367%. Los datos de BSIMM muestran un aumento en las capacidades centradas en el software de inventario; la creación de una lista de materiales (BOM) de software; comprender cómo se construyó, configuró e implementó el software; y aumentar la capacidad de la organización para volver a implementarse basándose en la telemetría de seguridad. Demostrando que muchas organizaciones se han tomado en serio la necesidad de una lista de materiales de software completa y actualizada, la actividad de BSIMM relacionada con esas capacidades ("mejorar el inventario de aplicaciones con la lista de materiales de operaciones") creció de 3 a 14 observaciones en el pasado dos años: un aumento del 367%.
  • "Desplazar a la izquierda" progresa a "cambiar a todas partes". El concepto de "cambio a la izquierda" se centra en mover las pruebas de seguridad al principio del proceso de desarrollo. "Cambio en todas partes" amplía la idea para hacer que las pruebas de seguridad sean continuas a lo largo del ciclo de vida del software, incluidas pruebas de seguridad más pequeñas, más rápidas e impulsadas por canalizaciones realizadas en la primera oportunidad, que puede ser durante el diseño o incluso durante todo el proceso de producción.

El paso del mantenimiento de inventarios operativos tradicionales hacia el descubrimiento automatizado de activos y la creación de listas de materiales incluye la adición de actividades de "cambio en todas partes", como el uso de contenedores para hacer cumplir los controles de seguridad, la orquestación y la infraestructura de escaneo como código. El aumento de las tasas de observación de BSIMM de actividades como "mejorar el inventario de aplicaciones con la lista de materiales de operaciones", "utilizar la orquestación para contenedores y entornos virtualizados" y "supervisar la creación automatizada de activos" demuestran esta tendencia.

“Desde 2008, los expertos en consultoría, investigación y datos de BSIMM han estado recopilando datos sobre los diferentes caminos que toman las organizaciones para abordar los desafíos de proteger el software”, dijo Jason Schmitt, gerente general de Synopsys Software Integrity Group. “Con una edad promedio de 4.4 años, las iniciativas de seguridad de software de las organizaciones participantes de BSIMM reflejan cómo las organizaciones están adaptando sus enfoques para abordar la nueva dinámica de las prácticas modernas de desarrollo e implementación. Con esta información, las organizaciones pueden adaptar sus propias estrategias para proteger a su organización y a sus clientes sin frenar la innovación ".

Para obtener más información, descargue el Perspectivas y tendencias de BSIMM12. Para una discusión interactiva de los hallazgos clave en BSIMM12, regístrese para nuestro seminario web del 21 de octubre.

AGRADECIMIENTOS

Sammy Migues, científico principal de Synopsys, Eli Erlikhman, director general de Synopsys, Jacob Ewers, consultor de seguridad principal de Synopsys, y Kevin Nassery, director de seguridad de aplicaciones de Gemini, fueron los autores de BSIMM12 después de analizar los datos recopilados durante casi 13 años de investigación sobre seguridad de software. Algunas de las empresas que participan en el estudio BSIMM incluyen: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis + Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

Sobre el BSIMM

Iniciado en 2008, Building Security In Maturity Model (BSIMM) es una herramienta para crear, medir y evaluar iniciativas de seguridad de software. Un modelo basado en datos y una herramienta de medición desarrollada a través del estudio y análisis cuidadosos de más de 200 iniciativas de seguridad de software, BSIMM11 incluye datos actuales del mundo real de 128 organizaciones. El BSIMM es un estándar abierto que incluye un marco basado en prácticas de seguridad de software, que una organización puede utilizar para evaluar y madurar sus propios esfuerzos en seguridad de software. Para más información visite www.bsimm.com.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como empresa S&P 500, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y ofrece la cartera más amplia de la industria de herramientas y servicios de prueba de seguridad de aplicaciones. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe código más seguro y de alta calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores. Obtenga más información en www.synopsys.com.

###