diposting di

Editor's brief: Salah satu founding father dan polymath Amerika, Benjamin Franklin, pernah berkata, “beri tahu saya dan saya lupa, ajari saya dan saya mungkin ingat, tetapi libatkan saya dan saya belajar”. Demikian juga, di dunia DevOps dan keamanan siber yang semakin kompleks, di mana ancaman yang muncul dan terus berlanjut sangat besar, paradigma “geser ke kiri” dalam merancang perangkat lunak dengan benar dan aman sejak awal sangatlah masuk akal. Lalu apa yang bisa kita pelajari dan adopsi dari best practice 128 organisasi luminary, dalam bentuk BSIMM12 (Building Security in Maturity Model) yang kini sedang berjalan edisi ke-12? Rilis vendor di bawah ini.

Synopsys Memublikasikan Studi BSIMM12 Menyoroti Pertumbuhan Penting dalam Upaya Keamanan Open Source, Cloud, dan Container

Iterasi ke-12 dari Building Security In Maturity Model mencerminkan ransomware tingkat tinggi dan gangguan rantai pasokan perangkat lunak yang mendorong peningkatan perhatian pada keamanan perangkat lunak.

SINGAPURA, @mcgallen #microwireinfo, 29 September 2021 - Synopsys, Inc. (Nasdaq: SNPS) hari ini diterbitkan BSIMM12, versi terbaru dari Building Security In Maturity Model (BSIMM) laporan, dibuat untuk membantu organisasi merencanakan, melaksanakan, mengukur, dan meningkatkan inisiatif keamanan perangkat lunak mereka. BSIMM12 mencerminkan praktik keamanan perangkat lunak yang diamati di 128 perusahaan dari berbagai vertikal industri termasuk layanan keuangan, FinTech, vendor perangkat lunak independen, cloud, perawatan kesehatan, dan Internet of Things. BSIMM12 menjelaskan pekerjaan hampir 3,000 anggota grup keamanan perangkat lunak dan lebih dari 6,000 anggota satelit. BSIMM digunakan oleh organisasi di seluruh dunia sebagai tolok ukur untuk membandingkan dan membedakan inisiatif mereka sendiri dengan data dari komunitas BSIMM yang lebih luas.

Data BSIMM12 menunjukkan peningkatan 61% dalam identifikasi dan pengelolaan open source kelompok keamanan perangkat lunak selama dua tahun terakhir, hampir pasti karena prevalensi komponen open source dalam perangkat lunak modern dan munculnya serangan menggunakan proyek open source populer sebagai vektor.

Pertumbuhan aktivitas yang terkait dengan platform cloud dan teknologi container menunjukkan dampak dramatis teknologi ini terhadap cara organisasi menggunakan dan mengamankan perangkat lunak. Misalnya, pengamatan "menggunakan orkestrasi untuk wadah dan lingkungan tervirtualisasi" meningkat 560% selama dua tahun terakhir.

“Selama 18 bulan terakhir, organisasi mengalami percepatan besar-besaran inisiatif transformasi digital. Ini telah menghasilkan peningkatan adopsi pendekatan yang ditentukan perangkat lunak untuk menyebarkan dan mengelola lingkungan perangkat lunak dan tumpukan teknologi cloud, ”kata Mike Ware, Kepala Keamanan Informasi di Navy Federal Credit Union, organisasi anggota komunitas BSIMM. “Mengingat kompleksitas dan kecepatan perubahan ini, tidak pernah lebih penting bagi tim keamanan untuk memiliki alat yang memungkinkan mereka memahami di mana mereka berdiri dan memiliki referensi ke mana mereka harus berporos selanjutnya. BSIMM adalah alat manajemen untuk melayani tujuan tersebut. BSIMM memberikan lensa unik tentang bagaimana organisasi mengubah strategi untuk menerapkan fitur keamanan yang ditentukan perangkat lunak seperti kebijakan sebagai kode untuk menyelaraskan dengan prinsip dan praktik pengembangan perangkat lunak modern.”

“Studi BSIMM memungkinkan organisasi untuk membandingkan praktik keamanan mereka saat ini sehingga mereka dapat menetapkan prioritas dan mempertahankan perspektif dalam menanggapi tren yang muncul dalam lanskap keamanan,” kata Mathieu Chevalier, Lead Security Architect, Genetec Inc., anggota organisasi dari komunitas BSIMM. “Model deskriptif BSIMM membantu organisasi untuk menentukan bagaimana memulai membangun inisiatif keamanan perangkat lunak dan mematangkannya secara efektif. Pengamatan BSIMM12 mengenai model tanggung jawab bersama khususnya harus mendorong para pemimpin keamanan untuk mempertimbangkan bagaimana mereka berkembang untuk memenuhi dan mengurangi potensi kesenjangan dalam strategi keamanan mereka.”

“Studi BSIMM sangat selaras dalam mengakses praktik terbaik industri. Ini dapat digunakan untuk memahami tingkat kematangan dalam berbagai aktivitas keamanan pengembangan seperti yang diamati di beberapa tim pengembangan,” kata Todd Wiedman, CISO di Landis+Gyr, organisasi anggota komunitas BSIMM. “Dengan praktik pengembangan perangkat lunak yang semakin cepat, data BSIMM12 menggambarkan perubahan aktual yang terjadi dalam program pengembangan keamanan. Dengan informasi ini, organisasi dapat menyesuaikan strategi mereka sendiri untuk melindungi organisasi dan pelanggan mereka tanpa mengurangi inovasi.”

“Sebagai bagian dari Program Keamanan Produk dan Data kami, kami telah menggunakan kerangka kerja BSIMM untuk membantu kami dalam memajukan strategi keamanan kami,” kata Vinod Raghavan, Direktur, Program Keamanan Produk & Data di Finastra, organisasi anggota komunitas BSIMM. “Ini telah berperan dalam membantu kami untuk membandingkan dengan organisasi lain baik di layanan keuangan dan industri lainnya, mendukung kematangan keamanan.”

Tren yang muncul di BSIMM12

  • Ransomware profil tinggi dan gangguan rantai pasokan perangkat lunak mendorong peningkatan perhatian pada keamanan perangkat lunak. Selama dua tahun terakhir, data BSIMM menunjukkan peningkatan 61% dalam aktivitas “identify open source” dan peningkatan 57% dalam aktivitas “create SLA boilerplates” di antara organisasi peserta.
  • Bisnis sedang belajar bagaimana menerjemahkan risiko menjadi angka. Organisasi mengerahkan lebih banyak upaya untuk mengumpulkan dan mempublikasikan data inisiatif keamanan perangkat lunak mereka, yang ditunjukkan oleh peningkatan 30% dari aktivitas “publikasikan data tentang keamanan perangkat lunak secara internal” selama 24 bulan terakhir.
  • Peningkatan kemampuan untuk keamanan cloud. Perhatian eksekutif yang meningkat, kemungkinan dikombinasikan dengan upaya yang didorong oleh teknik, juga telah mengakibatkan organisasi mengembangkan kemampuan mereka sendiri untuk mengelola keamanan cloud dan mengevaluasi model tanggung jawab bersama mereka. Ada rata-rata 36 pengamatan baru selama dua tahun terakhir di seluruh aktivitas yang biasanya terkait dengan keamanan cloud.
  • Tim keamanan meminjamkan sumber daya, staf, dan pengetahuan untuk praktik DevOps.Data BSIMM menunjukkan pergeseran oleh kelompok keamanan perangkat lunak dari mewajibkan perilaku keamanan perangkat lunak dan menuju peran kemitraan—menyediakan sumber daya, staf, dan pengetahuan untuk praktik DevOps dengan tujuan untuk memasukkan upaya keamanan di jalur kritis untuk pengiriman perangkat lunak.
  • Aktivitas Software Bill of Materials meningkat sebesar 367%. Data BSIMM menunjukkan peningkatan kapabilitas yang berfokus pada perangkat lunak inventarisasi; membuat perangkat lunak Bill of Material (BOM); memahami bagaimana perangkat lunak dibangun, dikonfigurasi, dan disebarkan; dan meningkatkan kemampuan organisasi untuk melakukan re-deploy berdasarkan telemetri keamanan. Menunjukkan bahwa banyak organisasi telah memperhatikan kebutuhan akan perangkat lunak BOM yang komprehensif dan terkini, aktivitas BSIMM yang terkait dengan kemampuan tersebut (“meningkatkan inventaris aplikasi dengan operasi Bill of Material”) tumbuh dari 3 menjadi 14 pengamatan selama masa lalu dua tahun—meningkat 367%.
  • "Shift kiri" berkembang menjadi "shift di mana-mana." Konsep "shift left" berfokus pada pemindahan pengujian keamanan di awal proses pengembangan. “Pergeseran ke mana-mana” memperluas gagasan untuk membuat pengujian keamanan terus-menerus di sepanjang siklus hidup perangkat lunak, termasuk pengujian keamanan yang lebih kecil, lebih cepat, berbasis pipeline yang dilakukan pada kesempatan paling awal, yang mungkin selama desain atau bahkan sepanjang proses produksi.

Perpindahan dari mempertahankan inventaris operasional tradisional dan menuju penemuan aset otomatis dan membuat Bill of Material termasuk menambahkan aktivitas "bergeser ke mana-mana" seperti menggunakan kontainer untuk menegakkan kontrol keamanan, orkestrasi, dan memindai infrastruktur sebagai kode. Peningkatan tingkat pengamatan BSIMM dari aktivitas seperti "meningkatkan inventaris aplikasi dengan operasi Bill of Materials," "menggunakan orkestrasi untuk wadah dan lingkungan virtual," dan "memantau pembuatan aset otomatis" semuanya menunjukkan tren ini.

“Sejak 2008, konsultan, penelitian, dan pakar data BSIMM telah mengumpulkan data di berbagai jalur yang diambil organisasi untuk mengatasi tantangan mengamankan perangkat lunak,” kata Jason Schmitt, manajer umum Synopsys Software Integrity Group. “Dengan usia rata-rata 4.4 tahun, inisiatif keamanan perangkat lunak organisasi yang berpartisipasi dalam BSIMM mencerminkan bagaimana organisasi mengadaptasi pendekatan mereka untuk mengatasi dinamika baru praktik pengembangan dan penerapan modern. Dengan informasi ini, organisasi kemudian dapat menyesuaikan strategi mereka sendiri untuk melindungi organisasi dan pelanggan mereka tanpa mengurangi inovasi.”

Untuk mempelajari lebih lanjut, unduh Wawasan dan Tren BSIMM12. Untuk diskusi interaktif tentang temuan utama di BSIMM12, daftar untuk webinar 21 Oktober kami.

Ucapan Terima Kasih

Sammy Migues, ilmuwan utama di Synopsys, Eli Erlikhman, kepala sekolah pengelola di Synopsys, Jacob Ewers, konsultan keamanan utama di Synopsys, dan Kevin Nassery, direktur keamanan aplikasi di Gemini menulis BSIMM12 setelah menganalisis data yang dikumpulkan selama hampir 13 tahun penelitian keamanan perangkat lunak. Beberapa perusahaan yang berpartisipasi dalam studi BSIMM antara lain: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, Penasihat eMoney, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+ Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, Grup Vanguard, Trainline, Trane, Bank AS, Veritas, Verizon Media.

Tentang BSIMM

Dimulai pada tahun 2008, Building Security In Maturity Model (BSIMM) adalah alat untuk membuat, mengukur, dan mengevaluasi inisiatif keamanan perangkat lunak. Model berbasis data dan alat pengukuran yang dikembangkan melalui studi dan analisis yang cermat terhadap lebih dari 200 inisiatif keamanan perangkat lunak, BSIMM11 mencakup data dunia nyata terkini dari 128 organisasi. BSIMM adalah standar terbuka yang mencakup kerangka kerja berdasarkan praktik keamanan perangkat lunak, yang dapat digunakan organisasi untuk menilai dan mematangkan upayanya sendiri dalam keamanan perangkat lunak. Untuk informasi lebih lanjut, kunjungi www.bsimm.com.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan S&P 500, Synopsys memiliki sejarah panjang menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan menawarkan portofolio alat dan layanan pengujian keamanan aplikasi terluas di industri. Baik Anda perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis kode berkualitas tinggi yang lebih aman, Synopsys memiliki solusi yang diperlukan untuk menghadirkan produk inovatif. Pelajari lebih lanjut di www.synopsys.com.

# # #