Synopsys publica el estudio BSIMM10 que destaca el impacto de DevOps en la seguridad del software

20171108_synopsys_coverityfeat

Singapur, @mcgallen #microwireinfo, 19 de septiembre de 2019 - Synopsys, Inc. (Nasdaq: SNPS) lanzado hoy BSIMM10, la última versión del Building Security In Maturity Model (BSIMM), diseñado para ayudar a las organizaciones a planificar, ejecutar, madurar y medir sus iniciativas de seguridad de software (SSI). Synopsys ha utilizado el BSIMM casi 450 veces en 185 empresas durante la última década, y esta décima iteración refleja las actividades de seguridad del software observadas en 10 empresas. BSIMM122 también destaca el impacto de DevOps en las iniciativas de seguridad del software, el surgimiento de una nueva ola de esfuerzos de seguridad impulsados ​​por la ingeniería y cómo las empresas avanzan a través de tres fases de madurez de la seguridad del software. Para descargar el informe, visite www.bsimm.com/download.html.


"Desde 2008, BSIMM ha servido como una herramienta eficaz para comprender cómo organizaciones de todas las formas y tamaños, incluidos algunos de los equipos de seguridad más avanzados del mundo, están ejecutando sus estrategias de seguridad de software", dijo Jim Routh, director de información empresarial. Gestión de riesgos en MassMutual. "Los datos BSIMM actuales reflejan cuántas organizaciones están adaptando sus enfoques para abordar la nueva dinámica de las prácticas modernas de desarrollo e implementación, como ciclos de lanzamiento más cortos, mayor uso de la automatización e infraestructura definida por software".

BSIMM10 describe el trabajo de 7,900 profesionales de seguridad de software cuyos esfuerzos guían y maximizan los esfuerzos de seguridad de casi 470,000 desarrolladores que trabajan en más de 173,000 aplicaciones. BSIMM10 representa a empresas en verticales de la industria que incluyen servicios financieros, alta tecnología, proveedores de software independientes (ISV), nube, atención médica, Internet de las cosas (IoT), seguros y venta minorista.

Hallazgos clave del estudio BSIMM10:

  • Impacto de DevOps en la seguridad del software: Los datos de BSIMM muestran que el movimiento de DevOps y la adopción de herramientas de integración continua y entrega continua (CI / CD) están afectando la forma en que las empresas abordan la seguridad del software. Esto se ve en la adición de BSIMM de tres nuevas actividades que reflejan cómo las empresas están trabajando activamente para automatizar las actividades de seguridad para igualar la velocidad a la que su negocio entrega funcionalidad al mercado. BSIMM10 también incluye descripciones actualizadas y ejemplos de actividades existentes para reflejar cómo se están implementando como parte de las organizaciones DevOps modernas.
  • La nueva ola de cultura de seguridad impulsada por la ingeniería: BSIMM10 es el primer estudio que refleja formalmente los cambios en la cultura SSI, observados en una nueva ola de esfuerzos de seguridad de software dirigidos por ingeniería que se originan desde abajo hacia arriba en los equipos de desarrollo y operaciones en lugar de desde arriba hacia abajo desde un grupo de seguridad de software centralizado. En algunas organizaciones, una cultura de seguridad impulsada por la ingeniería ha superado su lucha por establecer y desarrollar esfuerzos de seguridad de software significativos. Esta nueva ola de cultura de seguridad impulsada por la ingeniería está surgiendo en respuesta tanto a las demandas de las prácticas modernas de entrega de software como Agile y DevOps como a la fricción no deseada con los SSI existentes.
  • Las empresas utilizan BSIMM para navegar en su viaje de seguridad de software: BSIMM10 es la primera edición que define tres fases de madurez de SSI (emergente, maduración, optimización) y describe cómo las diferentes empresas suelen progresar a través de ellas. Los datos de BSIMM muestran que las organizaciones mejoran de manera demostrable con el tiempo, y muchas alcanzan un nivel de madurez en el que se enfocan en la profundidad, amplitud y escala de las actividades que están llevando a cabo en lugar de esforzarse siempre por realizar más actividades.

“Liderar una iniciativa de seguridad de software eficaz es un desafío, y los cambios tecnológicos y organizativos dramáticos provocados por DevOps y CI / CD no facilitan esa tarea”, dijo Sammy Migues, científico principal de Synopsys. “Como herramienta que evoluciona constantemente para reflejar las experiencias de cientos de grupos de seguridad de software en todo el mundo, el BSIMM y su comunidad son recursos invaluables, ya sea que esté comenzando su viaje, buscando optimizar su programa o lidiando con nuevos desafíos . "

El BSIMM incluye datos recopilados de empresas que han establecido SSI reales, cuantificando la ocurrencia de 119 actividades para mostrar los puntos en común que comparten muchas iniciativas, así como las variaciones que hacen que cada iniciativa sea única. Los datos de BSIMM muestran que las iniciativas de alta madurez están bien integradas, llevando a cabo numerosas actividades en las 12 prácticas descritas por el modelo. Las organizaciones pueden usar BSIMM para comparar iniciativas y determinar qué actividades adicionales podrían ser útiles para respaldar sus estrategias generales.

AGRADECIMIENTOS
Sammy Migues, científico principal de Synopsys, Michael Ware, director general de Synopsys, y John Steven, director de tecnología de ZeroNorth, crearon BSIMM10 después de analizar los datos recopilados durante los últimos 11 años de investigación sobre seguridad de software. Algunas de las empresas que participan en el estudio BSIMM incluyen: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Wells Fargo y Zendesk.

Sobre el BSIMM
Iniciado en 2008, Building Security In Maturity Model (BSIMM) es una herramienta para medir y evaluar iniciativas de seguridad de software. Un modelo basado en datos y una herramienta de medición desarrollada a través del estudio y análisis cuidadosos de iniciativas de seguridad de software, el BSIMM incluye datos del mundo real de más de 120 organizaciones. El BSIMM es un estándar abierto que incluye un marco basado en prácticas de seguridad de software, que una organización puede utilizar para evaluar sus propios esfuerzos en seguridad de software. Para más información visite www.bsimm.com.

Acerca del grupo de integridad del software Synopsys
Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en https://www.synopsys.com/software.

Sobre Synopsys
Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en https://www.synopsys.com/.

###