Compare las DevSecOps de su organización con la 11a edición de BSIMM

markus-spiske-qjnAnF0jIGk-unsplash

Resumen del editor: si está ejecutando DevOps en su organización, el imperativo es garantizar la calidad y la seguridad del software al mismo tiempo, especialmente contra el mundo actual de actores de amenazas que se inmiscuyen en cada nodo, software o sistema. La undécima edición de BSIMM (Building Security In Maturity Model), o BSIMM11, refleja una topografía de 11 empresas de industrias como servicios financieros, fintech, ISV, nube, atención médica, IoT y minorista. El comunicado de prensa del proveedor se encuentra a continuación.

Synopsys publica el estudio BSIMM11 que destaca los cambios fundamentales en las iniciativas de seguridad del software en respuesta a DevOps y la transformación digital

em> La undécima iteración del Building Security In Maturity Model refleja cómo las organizaciones están adaptando sus esfuerzos de seguridad de software para respaldar los paradigmas de desarrollo de software modernos

SINGAPUR, @mcgallen #microwireinfo, 16 de septiembre de 2020-Synopsys, Inc. (Nasdaq: SNPS) publicado hoy BSIMM11, la última versión del Building Security In Maturity Model (BSIMM), creado para ayudar a las organizaciones a planificar, ejecutar, medir y mejorar sus iniciativas de seguridad de software (SSI). BSIMM11 refleja las prácticas de seguridad de software observadas en 130 empresas de múltiples industrias verticales, incluidos servicios financieros, FinTech, proveedores de software independientes, nube, atención médica, Internet de las cosas, seguros y venta minorista. BSIMM11 describe el trabajo de 8,457 profesionales de seguridad de software que guían los esfuerzos de más de 490,000 desarrolladores.

Las organizaciones utilizan BSIMM como una vara de medir para comparar y contrastar sus propias iniciativas con los datos de la comunidad BSIMM en general. BSIMM11 muestra que muchas organizaciones están adaptando sus esfuerzos de seguridad de software para respaldar la transformación digital y los paradigmas de desarrollo de software moderno como DevOps.

"El BSIMM es un recurso excelente para los líderes de seguridad interesados ​​en aprender de las experiencias colectivas de sus pares, particularmente para resolver desafíos nuevos o emergentes", dijo Mike recién nacido, CISO de Navy Federal Credit Union, una organización miembro de la comunidad BSIMM. “Hoy en día, la mayoría de las organizaciones enfrentan el desafío de asegurar una creciente cartera de aplicaciones en el contexto de prácticas de desarrollo de software en rápida evolución y aceleración. BSIMM11 refleja cuántas de estas organizaciones están adaptando sus estrategias de seguridad de software para protegerse a sí mismas y a sus clientes sin sofocar la innovación ni obstaculizar la velocidad del desarrollo ".

Tendencias emergentes en BSIMM11

  • Los esfuerzos de seguridad de software dirigidos por ingeniería están contribuyendo con éxito a las corrientes de valor de DevOps en busca de la resiliencia. BSIMM11 muestra que la instrumentación de CI / CD y la orquestación de operaciones se han convertido en componentes estándar de las iniciativas de seguridad de software de muchas organizaciones y están influyendo en la forma en que se organizan, diseñan y ejecutan. Por ejemplo, los equipos de seguridad de software informan cada vez más a un grupo de tecnología o CTO (a diferencia de un equipo de seguridad de TI o CISO) y están cambiando la forma en que reclutan y organizan el talento internamente.
  • La gobernanza de la seguridad definida por software ya no es solo una aspiración. Las organizaciones están reemplazando algunas actividades de seguridad fuera de banda de alta fricción con actividades automatizadas desencadenadas por eventos en la ejecución de la canalización de CI / CD. Convertir los procesos humanos y la toma de decisiones en algoritmos es una de las formas en que las organizaciones abordan cada vez más las limitaciones de recursos y los problemas de gestión de la cadencia.
  • "Desplazar a la izquierda" se está convirtiendo en "desplazar a todas partes". La implementación del concepto de “cambio a la izquierda” ha evolucionado desde la interpretación literal de realizar algunas pruebas de seguridad al principio del ciclo de desarrollo hasta realizar actividades de seguridad tan pronto como estén disponibles los artefactos a revisar. Eso podría significar a la izquierda de donde históricamente se han realizado las actividades, pero a menudo, está a la derecha, incluso en producción.
  • Introducción de FinTech vertical al grupo de datos BSIMM. Después de revisar cuidadosamente el creciente conjunto de datos de empresas en la vertical financiera, se hizo evidente que existía la necesidad de agregar una vertical separada para contabilizar las empresas que son efectivamente ISV específicamente para software de servicios financieros.

“La forma en que se construye e implementa el software moderno se ha transformado drásticamente en los últimos años, por lo que, naturalmente, los esfuerzos necesarios para asegurar ese software también están cambiando”, dijo Michael Ware, coautor de BSIMM y director senior de tecnología en Synopsys. “Las empresas dependen en gran medida del software y las metodologías modernas han acelerado la velocidad del desarrollo. Como resultado, hay más software en todas partes y todavía tenemos que preocuparnos por todo el software preexistente. Como modelo que evoluciona constantemente para representar las prácticas reales que utilizan cientos de grupos de seguridad de software en todo el mundo, incluidos algunos de los equipos más avanzados del mundo, el BSIMM proporciona una visión casi en tiempo real de cómo se están realizando estos cambios. implementado para proteger las crecientes carteras de software ".

Las nuevas actividades en BSIMM representan un cambio hacia DevSecOps

Las tres actividades agregadas a BSIMM10 experimentaron un crecimiento excepcional durante el año pasado (SM3.4 Integrar el gobierno del ciclo de vida definido por software, AM3.3 Monitor de creación automatizada de activos, CMVM3.5 Automatizar la verificación de la seguridad de la infraestructura operativa). Esto refleja cómo algunas organizaciones están trabajando activamente para acelerar los esfuerzos de seguridad del software para igualar el ritmo de entrega de software. Además, las dos actividades agregadas en BSIMM11 representan una continuación de esa tendencia (ST3.6 Implementación de pruebas de seguridad impulsadas por eventos, CMVM3.6 Publicación de datos de riesgo para artefactos desplegables).

BSIMM en todas las industrias

BSIMM proporciona información única basada en datos para comprender y comparar las fortalezas y debilidades relativas de las iniciativas de seguridad de software en una variedad de industrias. Las empresas de nube, Internet de las cosas y de alta tecnología son tres de las verticales más maduras en el grupo de datos BSIMM11. BSIMM11 también destaca las diferencias entre tres industrias altamente reguladas: servicios financieros, atención médica y seguros. Se consideró que la industria de servicios financieros, que tenía grupos de seguridad de software antes que otras industrias, tenía prácticas más maduras en comparación con sus contrapartes en atención médica y seguros. Por primera vez, BSIMM presenta datos sobre la vertical FinTech y descubrió que rastrea bastante de cerca a los servicios financieros, con los deltas primarios (a favor de FinTech) ocurriendo en las prácticas de capacitación, pruebas de seguridad y revisión de código.

Lea el Resumen de BSIMM11 o descarga el completo Estudio BSIMM11.

Para una discusión en vivo del hallazgo clave en BSIMM11, regístrese en nuestro seminario web del 15 de octubre, BSIMM11: La evolución de DevSecOps

AGRADECIMIENTOS

Sammy Migues, científico principal de Synopsys, Michael Ware, director senior de tecnología de Synopsys, y John Steven, director fundador de Aedify Security, fueron los autores de BSIMM11 después de analizar los datos recopilados durante casi 12 años de investigación sobre seguridad de software. Algunas de las empresas que participan en el estudio BSIMM incluyen: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo y Zendesk.

Sobre el BSIMM

Iniciado en 2008, Building Security In Maturity Model (BSIMM) es una herramienta para crear, medir y evaluar iniciativas de seguridad de software. Un modelo basado en datos y una herramienta de medición desarrollada a través del estudio y análisis cuidadosos de más de 200 iniciativas de seguridad de software, BSIMM11 incluye datos actuales del mundo real de 130 organizaciones. El BSIMM es un estándar abierto que incluye un marco basado en prácticas de seguridad de software, que una organización puede utilizar para evaluar y madurar sus propios esfuerzos en seguridad de software. Para más información visite www.bsimm.com.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###