Synopsys publie une étude BSIMM10 mettant en évidence l'impact du DevOps sur la sécurité logicielle

20171108_synopsys_coverityfeat

Singapour, @mcgallen #microwireinfo, 19 septembre 2019 - Synopsys, Inc. (Nasdaq: SNPS) publié aujourd'hui BSIMM10, la dernière version du Building Security In Maturity Model (BSIMM), conçue pour aider les organisations à planifier, exécuter, mûrir et mesurer leurs initiatives de sécurité logicielle (SSI). Synopsys a utilisé le BSIMM près de 450 fois dans 185 entreprises au cours de la dernière décennie, et cette 10e itération reflète les activités de sécurité logicielle observées dans 122 entreprises. BSIMM10 met également en évidence l'impact de DevOps sur les initiatives de sécurité logicielle, l'émergence d'une nouvelle vague d'efforts de sécurité axés sur l'ingénierie et la façon dont les entreprises progressent à travers trois phases de maturité de la sécurité logicielle. Pour télécharger le rapport, visitez www.bsimm.com/download.html.


«Depuis 2008, le BSIMM est un outil efficace pour comprendre comment les organisations de toutes formes et tailles, y compris certaines des équipes de sécurité les plus avancées au monde, exécutent leurs stratégies de sécurité logicielle», a déclaré Jim Routh, responsable des informations d'entreprise Gestion des risques chez MassMutual. «Les données BSIMM actuelles reflètent le nombre d'organisations qui adaptent leurs approches pour faire face à la nouvelle dynamique des pratiques de développement et de déploiement modernes, telles que des cycles de publication plus courts, une utilisation accrue de l'automatisation et une infrastructure définie par logiciel.»

BSIMM10 décrit le travail de 7,900 470,000 professionnels de la sécurité logicielle dont les efforts guident et maximisent les efforts de sécurité de près de 173,000 10 développeurs travaillant sur plus de XNUMX XNUMX applications. BSIMMXNUMX représente des entreprises dans des secteurs verticaux de l'industrie, notamment les services financiers, la haute technologie, les éditeurs de logiciels indépendants (ISV), le cloud, la santé, l'Internet des objets (IoT), l'assurance et la vente au détail.

Principales conclusions de l'étude BSIMM10:

  • L'impact de DevOps sur la sécurité logicielle: Les données BSIMM montrent que le mouvement DevOps et l'adoption d'outils d'intégration continue et de livraison continue (CI / CD) affectent la façon dont les entreprises abordent la sécurité des logiciels. Cela se voit dans l'ajout par le BSIMM de trois nouvelles activités qui reflètent la façon dont les entreprises travaillent activement pour automatiser les activités de sécurité afin qu'elles correspondent à la vitesse à laquelle leur entreprise fournit des fonctionnalités au marché. BSIMM10 comprend également des descriptions mises à jour et des exemples d'activités existantes pour refléter la manière dont elles sont mises en œuvre dans le cadre d'organisations DevOps modernes.
  • La nouvelle vague de culture de sécurité axée sur l'ingénierie: BSIMM10 est la première étude à refléter formellement les changements dans la culture SSI, observés dans une nouvelle vague d'efforts de sécurité logicielle dirigés par l'ingénierie provenant de bas en haut dans les équipes de développement et d'exploitation plutôt que de haut en bas à partir d'un groupe de sécurité logicielle centralisé. Dans certaines organisations, une culture de sécurité axée sur l'ingénierie a surmonté sa lutte pour établir et développer des efforts significatifs de sécurité logicielle. Cette nouvelle vague de culture de sécurité axée sur l'ingénierie émerge en réponse à la fois aux exigences des pratiques de livraison logicielle modernes telles que Agile et DevOps et aux frictions indésirables avec les SSI existants.
  • Les entreprises utilisent le BSIMM pour naviguer dans leur parcours de sécurité logicielle: BSIMM10 est la première édition à définir trois phases de maturité SSI - émergence, maturité, optimisation - et à décrire comment les différentes entreprises progressent généralement à travers elles. Les données BSIMM montrent que les organisations s'améliorent manifestement au fil du temps, et beaucoup atteignent un niveau de maturité où elles se concentrent sur la profondeur, l'ampleur et l'échelle des activités qu'elles mènent plutôt que de toujours s'efforcer de plus d'activités.

«Diriger une initiative de sécurité logicielle efficace est un défi, et les changements technologiques et organisationnels spectaculaires induits par DevOps et CI / CD ne facilitent pas cette tâche», a déclaré Sammy Migues, scientifique principal chez Synopsys. «En tant qu'outil qui évolue constamment pour refléter les expériences de centaines de groupes de sécurité logicielle à travers le monde, le BSIMM et sa communauté sont des ressources inestimables, que vous soyez au début de votre voyage, que vous cherchiez à optimiser votre programme ou que vous soyez aux prises avec de nouveaux défis. . »

Le BSIMM comprend des données collectées auprès d'entreprises qui ont établi de véritables SSI, quantifiant l'occurrence de 119 activités pour montrer le terrain d'entente partagé par de nombreuses initiatives ainsi que les variations qui rendent chaque initiative unique. Les données BSIMM montrent que les initiatives à haute maturité sont bien équilibrées, menant de nombreuses activités dans les 12 pratiques décrites par le modèle. Les organisations peuvent utiliser le BSIMM pour comparer les initiatives et déterminer quelles activités supplémentaires pourraient être utiles pour soutenir leurs stratégies globales.

Remerciements
Sammy Migues, scientifique principal chez Synopsys, Michael Ware, directeur général chez Synopsys, et John Steven, directeur de la technologie chez ZeroNorth, ont rédigé BSIMM10 après avoir analysé les données collectées au cours des 11 dernières années de recherche sur la sécurité logicielle. Certaines des entreprises participant à l'étude BSIMM comprennent: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Principal Financial Group, Banque Royale du Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Wells Fargo et Zendesk.

À propos du BSIMM
Lancé en 2008, le Building Security In Maturity Model (BSIMM) est un outil de mesure et d'évaluation des initiatives de sécurité logicielle. Modèle basé sur les données et outil de mesure développé grâce à une étude et une analyse minutieuses des initiatives de sécurité logicielle, le BSIMM comprend des données du monde réel provenant de plus de 120 organisations. Le BSIMM est une norme ouverte qui comprend un cadre basé sur des pratiques de sécurité logicielle, qu'une organisation peut utiliser pour évaluer ses propres efforts en matière de sécurité logicielle. Pour plus d'informations, visitez www.bsimm.com.

À propos du groupe d'intégrité logicielle de Synopsys
Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts dans le code propriétaire, les composants open source et le comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur https://www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur https://www.synopsys.com/.

###