Publié le

Note de l'éditeur : L'un des pères fondateurs et grand mathématicien de l'Amérique, Benjamin Franklin, a dit un jour : « dites-moi et j'oublie, enseignez-moi et je me souviendrai peut-être, mais impliquez-moi et j'apprends ». De même, dans le monde de plus en plus complexe du DevOps et de la cybersécurité, où les menaces émergentes et permanentes sont immenses, le paradigme « décaler à gauche » consistant à concevoir des logiciels correctement et sécurisés dès le départ prend tout son sens. Que pouvons-nous alors apprendre et adopter des meilleures pratiques de 128 organisations de sommités, sous la forme de BSIMM12 (Building Security in Maturity Model), maintenant dans la 12e édition en cours ? La version du fournisseur est ci-dessous.

Synopsys publie une étude BSIMM12 mettant en évidence la croissance notable des efforts de sécurité open source, cloud et conteneurs

La 12e itération du modèle Building Security In Maturity reflète les perturbations très médiatisées des ransomwares et de la chaîne d'approvisionnement des logiciels, attirant une attention accrue sur la sécurité des logiciels.

SINGAPOUR, @mcgallen #microwireinfo, 29 septembre 2021 - Synopsys, Inc. (Nasdaq: SNPS) publié aujourd'hui BSIMM12, la dernière version du Construire le modèle de sécurité à maturité (BSIMM) rapport, créé pour aider les organisations à planifier, exécuter, mesurer et améliorer leurs initiatives de sécurité logicielle. BSIMM12 reflète les pratiques de sécurité logicielle observées dans 128 entreprises de plusieurs secteurs d'activité, notamment les services financiers, les FinTech, les éditeurs de logiciels indépendants, le cloud, les soins de santé et l'Internet des objets. BSIMM12 décrit le travail de près de 3,000 6,000 membres du groupe de sécurité logicielle et de plus de XNUMX XNUMX membres satellites. Le BSIMM est utilisé par des organisations du monde entier comme un outil de mesure pour comparer et contraster leurs propres initiatives avec les données de la communauté BSIMM au sens large.

Les données du BSIMM12 indiquent une augmentation de 61 % de l'identification et de la gestion de l'open source par les groupes de sécurité logicielle au cours des deux dernières années, presque certainement en raison de la prévalence des composants open source dans les logiciels modernes et de l'augmentation des attaques utilisant des projets open source populaires comme vecteurs.

La croissance des activités liées aux plateformes cloud et aux technologies de conteneurs montre l'impact dramatique que ces technologies ont eu sur la façon dont les organisations utilisent et sécurisent les logiciels. Par exemple, les observations « d'orchestration d'utilisation pour les conteneurs et les environnements virtualisés » ont augmenté de 560% au cours des deux dernières années.

« Au cours des 18 derniers mois, les organisations ont connu une accélération massive des initiatives de transformation numérique. Cela a entraîné une adoption accrue d'approches définies par logiciel pour le déploiement et la gestion des environnements logiciels et des piles de technologies cloud », a déclaré Mike Ware, responsable de la sécurité de l'information chez Navy Federal Credit Union, une organisation membre de la communauté BSIMM. « Compte tenu de la complexité et du rythme de ces changements, il n'a jamais été aussi important pour les équipes de sécurité d'avoir les outils qui leur permettent de comprendre où ils en sont et d'avoir une référence pour leur prochain pivot. Le BSIMM est un outil de gestion pour servir un tel objectif. Le BSIMM fournit une perspective unique sur la façon dont les organisations modifient leurs stratégies pour mettre en œuvre des fonctionnalités de sécurité définies par logiciel, telles que la politique en tant que code, afin de s'aligner sur les principes et les pratiques de développement de logiciels modernes.

« L'étude BSIMM permet aux organisations de comparer leurs pratiques de sécurité actuelles afin qu'elles puissent établir des priorités et maintenir une perspective en réponse aux tendances émergentes dans le paysage de la sécurité », a déclaré Mathieu Chevalier, architecte de sécurité en chef, Genetec Inc., une organisation membre de la communauté BSIMM. « Le modèle descriptif du BSIMM aide les organisations à déterminer comment commencer à construire une initiative de sécurité logicielle et à la faire mûrir efficacement. Les observations du BSIMM12 concernant les modèles de responsabilité partagée en particulier devraient encourager les responsables de la sécurité à réfléchir à la manière dont ils évoluent pour combler et atténuer les lacunes potentielles dans leur stratégie de sécurité.

« L'étude BSIMM est très alignée en termes d'accès aux meilleures pratiques de l'industrie. Il peut être utilisé pour comprendre le niveau de maturité d'une variété d'activités de sécurité de développement observées dans plusieurs équipes de développement », a déclaré Todd Wiedman, RSSI chez Landis+Gyr, une organisation membre de la communauté BSIMM. « Avec l'accélération rapide des pratiques de développement de logiciels, les données BSIMM12 illustrent les changements réels qui se produisent dans les programmes de développement de la sécurité. Avec ces informations, les organisations peuvent adapter leurs propres stratégies pour protéger leur organisation et leurs clients sans freiner l'innovation.

« Dans le cadre de notre programme de sécurité des produits et des données, nous utilisons le cadre BSIMM pour nous aider à faire progresser notre stratégie de sécurité », a déclaré Vinod Raghavan, directeur du programme de sécurité des produits et des données chez Finastra, une organisation membre de la communauté BSIMM. « Cela nous a aidés à nous comparer à d'autres organisations des services financiers et d'autres secteurs, en soutenant la maturité de la sécurité. »

Tendances émergentes dans BSIMM12

  • Les perturbations très médiatisées des ransomwares et de la chaîne d'approvisionnement des logiciels attirent de plus en plus l'attention sur la sécurité des logiciels. Au cours des deux dernières années, les données du BSIMM montrent une augmentation de 61 % de l'activité « identifier l'open source » et une augmentation de 57 % de l'activité « créer des standards SLA » parmi les organisations participantes.
  • Les entreprises apprennent à traduire les risques en chiffres. Les organisations redoublent d'efforts pour collecter et publier les données de leurs initiatives de sécurité logicielle, comme en témoigne une augmentation de 30 % de l'activité « publier des données sur la sécurité logicielle en interne » au cours des 24 derniers mois.
  • Capacités accrues pour la sécurité du cloud. Une attention accrue de la direction, probablement combinée à des efforts axés sur l'ingénierie, a également conduit les organisations à développer leurs propres capacités de gestion de la sécurité du cloud et à évaluer leurs modèles de responsabilité partagée. Il y a eu en moyenne 36 nouvelles observations au cours des deux dernières années pour des activités généralement liées à la sécurité du cloud.
  • Les équipes de sécurité prêtent des ressources, du personnel et des connaissances aux pratiques DevOps.Les données du BSIMM montrent que les groupes de sécurité logicielle abandonnent les comportements de sécurité logicielle obligatoires et se tournent vers un rôle de partenariat : fournir des ressources, du personnel et des connaissances aux pratiques DevOps dans le but d'inclure les efforts de sécurité dans le chemin critique de la livraison de logiciels.
  • Les activités de nomenclature de logiciels ont augmenté de 367 %. Les données BSIMM montrent une augmentation des capacités axées sur les logiciels d'inventaire ; création d'une nomenclature logicielle (BOM) ; comprendre comment le logiciel a été construit, configuré et déployé ; et augmenter la capacité de l'organisation à se redéployer en fonction de la télémétrie de sécurité. Démontrant que de nombreuses organisations ont pris à cœur le besoin d'une nomenclature logicielle complète et à jour, l'activité BSIMM liée à ces capacités (« améliorer l'inventaire des applications avec la nomenclature des opérations » est passée de 3 à 14 observations au cours du passé deux ans, soit une augmentation de 367 %.
  • "Décaler à gauche" passe à "décaler partout". Le concept de « décalage vers la gauche » se concentre sur le déplacement des tests de sécurité plus tôt dans le processus de développement. « Déplacer partout » étend l'idée de rendre les tests de sécurité continus tout au long du cycle de vie du logiciel, y compris des tests de sécurité plus petits, plus rapides et pilotés par pipeline effectués à la première occasion, ce qui peut être pendant la conception ou même jusqu'à la fin de la production.

Le passage de la gestion des inventaires opérationnels traditionnels à la découverte automatisée des actifs et à la création de nomenclatures comprend l'ajout d'activités « partout partout », telles que l'utilisation de conteneurs pour appliquer les contrôles de sécurité, l'orchestration et l'analyse de l'infrastructure en tant que code. L'augmentation des taux d'observation BSIMM d'activités telles que « améliorer l'inventaire des applications avec la nomenclature des opérations », « utiliser l'orchestration pour les conteneurs et les environnements virtualisés » et « surveiller la création automatisée d'actifs » démontrent tous cette tendance.

« Depuis 2008, les experts en conseil, recherche et données de BSIMM collectent des données sur les différentes voies empruntées par les organisations pour relever les défis de la sécurisation des logiciels », a déclaré Jason Schmitt, directeur général du Synopsys Software Integrity Group. « Avec un âge moyen de 4.4 ans, les initiatives de sécurité logicielle des organisations participantes au BSIMM reflètent la façon dont les organisations adaptent leurs approches pour répondre à la nouvelle dynamique des pratiques modernes de développement et de déploiement. Avec ces informations, les organisations peuvent ensuite adapter leurs propres stratégies pour protéger leur organisation et leurs clients sans freiner l'innovation.

Pour en savoir plus, téléchargez le BSIMM12 Insights et tendances. Pour une discussion interactive sur les principales conclusions du BSIMM12, inscrivez-vous à notre webinaire du 21 octobre.

Remerciements

Sammy Migues, scientifique principal chez Synopsys, Eli Erlikhman, directeur principal chez Synopsys, Jacob Ewers, consultant principal en sécurité chez Synopsys, et Kevin Nassery, directeur de la sécurité des applications chez Gemini sont les auteurs de BSIMM12 après avoir analysé les données recueillies au cours de près de 13 ans de recherche en sécurité logicielle. Certaines des entreprises participant à l'étude BSIMM incluent : AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Banque Canadienne Impériale de Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+ Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

À propos du BSIMM

Lancé en 2008, le Building Security In Maturity Model (BSIMM) est un outil de création, de mesure et d'évaluation des initiatives de sécurité logicielle. Modèle basé sur les données et outil de mesure développé grâce à l'étude et à l'analyse minutieuses de plus de 200 initiatives de sécurité logicielle, BSIMM11 comprend des données actuelles et réelles de 128 organisations. Le BSIMM est une norme ouverte qui comprend un cadre basé sur des pratiques de sécurité logicielle, qu'une organisation peut utiliser pour évaluer et mûrir ses propres efforts en matière de sécurité logicielle. Pour plus d'informations, visitez www.bsimm.com.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###