Publicado el

Resumen del editor: si está ejecutando DevOps en su organización, el imperativo es garantizar la calidad y la seguridad del software al mismo tiempo, especialmente contra el mundo actual de actores de amenazas que se inmiscuyen en cada nodo, software o sistema. La undécima edición de BSIMM (Building Security In Maturity Model), o BSIMM11, refleja una topografía de 11 empresas de industrias como servicios financieros, fintech, ISV, nube, atención médica, IoT y minorista. El comunicado de prensa del proveedor se encuentra a continuación.

Synopsys Publishes BSIMM11 Study Highlighting Fundamental Shifts in Software Security Initiatives in Response to DevOps and Digital Transformation

em> La undécima iteración del Building Security In Maturity Model refleja cómo las organizaciones están adaptando sus esfuerzos de seguridad de software para respaldar los paradigmas de desarrollo de software modernos

SINGAPUR, @mcgallen #microwireinfo, 16 de septiembre de 2020-Synopsys, Inc. (Nasdaq: SNPS) publicado hoy BSIMM11, la última versión del Construcción de seguridad en el modelo de madurez (BSIMM), creado para ayudar a las organizaciones a planificar, ejecutar, medir y mejorar sus iniciativas de seguridad de software (SSI). BSIMM11 refleja las prácticas de seguridad de software observadas en 130 empresas de múltiples industrias verticales, incluidos servicios financieros, FinTech, proveedores de software independientes, nube, atención médica, Internet de las cosas, seguros y venta minorista. BSIMM11 describe el trabajo de 8,457 profesionales de seguridad de software que guían los esfuerzos de más de 490,000 desarrolladores.

Las organizaciones utilizan BSIMM como una vara de medir para comparar y contrastar sus propias iniciativas con los datos de la comunidad BSIMM en general. BSIMM11 muestra que muchas organizaciones están adaptando sus esfuerzos de seguridad de software para respaldar la transformación digital y los paradigmas de desarrollo de software moderno como DevOps.

"El BSIMM es un recurso excelente para los líderes de seguridad interesados ​​en aprender de las experiencias colectivas de sus pares, particularmente para resolver desafíos nuevos o emergentes", dijo Mike recién nacido, CISO de Navy Federal Credit Union, una organización miembro de la comunidad BSIMM. “Hoy en día, la mayoría de las organizaciones enfrentan el desafío de asegurar una creciente cartera de aplicaciones en el contexto de prácticas de desarrollo de software en rápida evolución y aceleración. BSIMM11 refleja cuántas de estas organizaciones están adaptando sus estrategias de seguridad de software para protegerse a sí mismas y a sus clientes sin sofocar la innovación ni obstaculizar la velocidad del desarrollo ".

Tendencias emergentes en BSIMM11

  • Los esfuerzos de seguridad de software dirigidos por ingeniería están contribuyendo con éxito a las corrientes de valor de DevOps en busca de la resiliencia. BSIMM11 muestra que la instrumentación de CI / CD y la orquestación de operaciones se han convertido en componentes estándar de las iniciativas de seguridad de software de muchas organizaciones y están influyendo en la forma en que se organizan, diseñan y ejecutan. Por ejemplo, los equipos de seguridad de software informan cada vez más a un grupo de tecnología o CTO (a diferencia de un equipo de seguridad de TI o CISO) y están cambiando la forma en que reclutan y organizan el talento internamente.
  • La gobernanza de la seguridad definida por software ya no es solo una aspiración. Las organizaciones están reemplazando algunas actividades de seguridad fuera de banda de alta fricción con actividades automatizadas desencadenadas por eventos en la ejecución de la canalización de CI / CD. Convertir los procesos humanos y la toma de decisiones en algoritmos es una de las formas en que las organizaciones abordan cada vez más las limitaciones de recursos y los problemas de gestión de la cadencia. 
  • "Desplazar a la izquierda" se está convirtiendo en "desplazar a todas partes". La implementación del concepto de “cambio a la izquierda” ha evolucionado desde la interpretación literal de realizar algunas pruebas de seguridad al principio del ciclo de desarrollo hasta realizar actividades de seguridad tan pronto como estén disponibles los artefactos a revisar. Eso podría significar a la izquierda de donde históricamente se han realizado las actividades, pero a menudo, está a la derecha, incluso en producción.
  • Introducción de FinTech vertical al grupo de datos BSIMM. Después de revisar cuidadosamente el creciente conjunto de datos de empresas en la vertical financiera, se hizo evidente que existía la necesidad de agregar una vertical separada para contabilizar las empresas que son efectivamente ISV específicamente para software de servicios financieros.

“The way modern software is built and deployed has transformed dramatically over the past few years, so naturally the efforts required to secure that software are changing as well,” said Michael Ware, BSIMM co-author and senior director of technology at Synopsys. “Businesses are critically dependent on software, and modern methodologies have accelerated the speed of development. As a result, there is more software everywhere, and we still need to worry about all the pre-existing software. As a model that constantly evolves to represent the actual practices in use by hundreds of software security groups around the world—including some of the most advanced teams in the world—the BSIMM provides a near-real-time view into how these changes are being implemented to protect the growing software portfolios.”

Las nuevas actividades en BSIMM representan un cambio hacia DevSecOps

Las tres actividades agregadas a BSIMM10 experimentaron un crecimiento excepcional durante el año pasado (SM3.4 Integrar el gobierno del ciclo de vida definido por software, AM3.3 Monitor de creación automatizada de activos, CMVM3.5 Automatizar la verificación de la seguridad de la infraestructura operativa). Esto refleja cómo algunas organizaciones están trabajando activamente para acelerar los esfuerzos de seguridad del software para igualar el ritmo de entrega de software. Además, las dos actividades agregadas en BSIMM11 representan una continuación de esa tendencia (ST3.6 Implementación de pruebas de seguridad impulsadas por eventos, CMVM3.6 Publicación de datos de riesgo para artefactos desplegables).

BSIMM en todas las industrias

BSIMM proporciona información única basada en datos para comprender y comparar las fortalezas y debilidades relativas de las iniciativas de seguridad de software en una variedad de industrias. Las empresas de nube, Internet de las cosas y de alta tecnología son tres de las verticales más maduras en el grupo de datos BSIMM11. BSIMM11 también destaca las diferencias entre tres industrias altamente reguladas: servicios financieros, atención médica y seguros. Se consideró que la industria de servicios financieros, que tenía grupos de seguridad de software antes que otras industrias, tenía prácticas más maduras en comparación con sus contrapartes en atención médica y seguros. Por primera vez, BSIMM presenta datos sobre la vertical FinTech y descubrió que rastrea bastante de cerca a los servicios financieros, con los deltas primarios (a favor de FinTech) ocurriendo en las prácticas de capacitación, pruebas de seguridad y revisión de código.

Lea la Resumen de BSIMM11 o descarga el completo Estudio BSIMM11.

Para una discusión en vivo del hallazgo clave en BSIMM11, regístrese en nuestro seminario web del 15 de octubre, BSIMM11: La evolución de DevSecOps

AGRADECIMIENTOS

Sammy Migues, principal scientist at Synopsys, Michael Ware, senior director of technology at Synopsys, and John Steven, Founding Principal at Aedify Security, authored BSIMM11 after analyzing data collected over nearly 12 years of software security research. Some of the companies participating in the BSIMM study include: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual,  McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, and Zendesk.

Sobre el BSIMM

Iniciado en 2008, Building Security In Maturity Model (BSIMM) es una herramienta para crear, medir y evaluar iniciativas de seguridad de software. Un modelo basado en datos y una herramienta de medición desarrollada a través del estudio y análisis cuidadosos de más de 200 iniciativas de seguridad de software, BSIMM11 incluye datos actuales del mundo real de 130 organizaciones. El BSIMM es un estándar abierto que incluye un marco basado en prácticas de seguridad de software, que una organización puede utilizar para evaluar y madurar sus propios esfuerzos en seguridad de software. Para más información visite www.bsimm.com.

Acerca de Synopsys Grupo de integridad de software

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, un líder reconocido en seguridad de aplicaciones, ofrece soluciones de análisis estático, análisis de composición de software y análisis dinámico que permiten a los equipos encontrar y reparar rápidamente vulnerabilidades y defectos en el código propietario, los componentes de código abierto y el comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Conócenos Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en los que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga historia como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en soluciones de calidad y seguridad de software. Tanto si es un diseñador de sistemas en chip (SoC) que crea semiconductores avanzados como si es un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, de alta calidad y seguros. Obtenga más información en www.synopsys.com.

###