Comparez les DevSecOps de votre organisation à la 11e édition de BSIMM

markus-spiske-qjnAnF0jIGk-unsplash

Note de l'éditeur: Si vous exécutez DevOps dans votre organisation, il est impératif de garantir à la fois la qualité et la sécurité des logiciels, en particulier contre le monde actuel des acteurs de la menace qui empiètent sur chaque nœud, logiciel ou système. La 11e édition de BSIMM (Building Security In Maturity Model), ou BSIMM11, reflète une topographie de 130 entreprises de secteurs tels que les services financiers, la fintech, les éditeurs de logiciels indépendants, le cloud, la santé, l'IoT et le commerce de détail. Le communiqué de presse du fournisseur est ci-dessous.

Synopsys publie une étude BSIMM11 mettant en évidence les changements fondamentaux dans les initiatives de sécurité logicielle en réponse au DevOps et à la transformation numérique

em> La 11e itération du modèle Building Security In Maturity reflète la manière dont les organisations adaptent leurs efforts de sécurité logicielle pour prendre en charge les paradigmes de développement logiciel modernes

SINGAPOUR, @mcgallen #microwireinfo, 16 septembre 2020-Synopsys, Inc. (Nasdaq: SNPS) publié aujourd'hui BSIMM11, la dernière version du Construire le modèle de sécurité à maturité (BSIMM), créé pour aider les organisations à planifier, exécuter, mesurer et améliorer leurs initiatives de sécurité logicielle (SSI). BSIMM11 reflète les pratiques de sécurité logicielle observées dans 130 entreprises de plusieurs secteurs verticaux, notamment les services financiers, la FinTech, les éditeurs de logiciels indépendants, le cloud, les soins de santé, l'Internet des objets, l'assurance et la vente au détail. BSIMM11 décrit le travail de 8,457 490,000 professionnels de la sécurité logicielle qui guident les efforts de plus de XNUMX XNUMX développeurs.

BSIMM est utilisé par les organisations comme un outil de mesure pour comparer et contraster leurs propres initiatives avec les données de la communauté BSIMM plus large. BSIMM11 montre que de nombreuses organisations adaptent leurs efforts de sécurité logicielle pour prendre en charge la transformation numérique et les paradigmes de développement logiciel modernes comme DevOps.

«Le BSIMM est une excellente ressource pour les responsables de la sécurité souhaitant apprendre des expériences collectives de leurs pairs, en particulier pour résoudre des défis nouveaux ou émergents», a déclaré Mike nouveau-né, RSSI de la Navy Federal Credit Union, une organisation membre de la communauté BSIMM. «Aujourd'hui, la plupart des organisations sont confrontées au défi de sécuriser un portefeuille croissant d'applications dans un contexte d'évolution et d'accélération rapides des pratiques de développement logiciel. BSIMM11 reflète le nombre de ces organisations qui adaptent leurs stratégies de sécurité logicielle pour se protéger et protéger leurs clients sans étouffer l'innovation ou entraver la vitesse de développement. »

Tendances émergentes dans BSIMM11

  • Les efforts de sécurité logicielle dirigés par l'ingénierie contribuent avec succès aux flux de valeur DevOps dans la recherche de la résilience. BSIMM11 montre que l'instrumentation CI / CD et l'orchestration des opérations sont devenues des composants standard des initiatives de sécurité logicielle de nombreuses entreprises et influencent leur organisation, leur conception et leur exécution. Par exemple, les équipes de sécurité logicielle relèvent de plus en plus d'un groupe technologique ou d'un CTO (par opposition à une équipe de sécurité informatique ou CISO) et changent leur façon de recruter et d'organiser les talents en interne.
  • La gouvernance de la sécurité définie par logiciel n'est plus seulement une ambition. Les organisations remplacent certaines activités de sécurité hors bande à haute friction par des activités automatisées déclenchées par des événements dans l'exécution du pipeline CI / CD. La conversion des processus humains et de la prise de décision en algorithmes est l'une des façons dont les organisations s'attaquent de plus en plus aux contraintes de ressources et aux problèmes de gestion de la cadence.
  • «Shift left» devient «shift partout». La mise en œuvre du concept de «décalage vers la gauche» est passée de l'interprétation littérale consistant à effectuer certains tests de sécurité plus tôt dans le cycle de développement à l'exécution d'activités de sécurité dès que les artefacts à examiner sont disponibles. Cela pourrait signifier à gauche de l'endroit où les activités ont été historiquement réalisées, mais souvent, c'est à droite, y compris en production.
  • Introduction de FinTech vertical au pool de données BSIMM. Après avoir soigneusement examiné le pool de données croissant des entreprises dans le secteur financier vertical, il est devenu évident qu'il était nécessaire d'ajouter un secteur vertical distinct pour tenir compte des entreprises qui sont effectivement des éditeurs de logiciels indépendants spécifiquement pour les logiciels de services financiers.

«La façon dont les logiciels modernes sont construits et déployés s'est considérablement transformée au cours des dernières années, donc naturellement les efforts nécessaires pour sécuriser ces logiciels évoluent également», a déclaré Michael Ware, co-auteur de BSIMM et directeur principal de la technologie chez Synopsys. «Les entreprises sont fortement dépendantes des logiciels et les méthodologies modernes ont accéléré la vitesse de développement. En conséquence, il y a plus de logiciels partout et nous devons encore nous soucier de tous les logiciels préexistants. En tant que modèle qui évolue constamment pour représenter les pratiques réelles utilisées par des centaines de groupes de sécurité logicielle à travers le monde, y compris certaines des équipes les plus avancées au monde, le BSIMM fournit une vue en temps quasi réel de la façon dont ces changements sont en cours. mis en œuvre pour protéger les portefeuilles de logiciels en croissance. »

Les nouvelles activités du BSIMM représentent un virage vers DevSecOps

Les trois activités ajoutées à BSIMM10 ont connu une croissance exceptionnelle au cours de l'année écoulée (SM3.4 Intégrer la gouvernance du cycle de vie définie par logiciel, AM3.3 Monitor automatiser la création d'actifs, CMVM3.5 Automatiser la vérification de la sécurité de l'infrastructure opérationnelle). Cela reflète la manière dont certaines organisations travaillent activement pour accélérer les efforts de sécurité logicielle afin de suivre le rythme de livraison des logiciels. En outre, les deux activités ajoutées dans BSIMM11 représentent une continuation de cette tendance (ST3.6 Implémentation des tests de sécurité pilotés par les événements, CMVM3.6 Publication des données de risque pour les artefacts déployables).

BSIMM dans tous les secteurs

BSIMM fournit des informations uniques et basées sur les données pour comprendre et comparer les forces et les faiblesses relatives des initiatives de sécurité logicielle dans divers secteurs. Le cloud, l'Internet des objets et les entreprises de haute technologie sont trois des secteurs verticaux les plus matures du pool de données BSIMM11. BSIMM11 met également en évidence les différences entre trois secteurs hautement réglementés: les services financiers, les soins de santé et les assurances. Le secteur des services financiers, qui avait mis en place des groupes de sécurité logicielle plus tôt que les autres industries, était considéré comme ayant des pratiques plus matures que leurs homologues des soins de santé et des assurances. Pour la première fois, le BSIMM présente des données sur la verticale FinTech et a constaté qu'il suivait assez étroitement les services financiers, les principaux deltas (en faveur de la FinTech) se produisant dans les pratiques de formation, de test de sécurité et de révision de code.

Lire l' Résumé BSIMM11 ou téléchargez l'intégralité Etude BSIMM11.

Pour une discussion en direct sur les principales conclusions de BSIMM11, inscrivez-vous à notre webinaire du 15 octobre, BSIMM11: L'évolution de DevSecOps

Remerciements

Sammy Migues, scientifique principal chez Synopsys, Michael Ware, directeur principal de la technologie chez Synopsys, et John Steven, directeur fondateur d'Aedify Security, ont rédigé BSIMM11 après avoir analysé les données collectées pendant près de 12 ans de recherche sur la sécurité logicielle. Certaines des entreprises participant à l'étude BSIMM comprennent: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group , Banque Royale du Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo et Zendesk.

À propos du BSIMM

Lancé en 2008, le Building Security In Maturity Model (BSIMM) est un outil de création, de mesure et d'évaluation des initiatives de sécurité logicielle. Modèle basé sur les données et outil de mesure développé grâce à l'étude et à l'analyse minutieuses de plus de 200 initiatives de sécurité logicielle, BSIMM11 comprend des données actuelles et réelles de 130 organisations. Le BSIMM est une norme ouverte qui comprend un cadre basé sur des pratiques de sécurité logicielle, qu'une organisation peut utiliser pour évaluer et mûrir ses propres efforts en matière de sécurité logicielle. Pour plus d'informations, visitez www.bsimm.com.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###