Studi BSIMM8 Memperkuat Benchmarking sebagai Latihan Kritis di Tahap Awal Inisiatif Keamanan Perangkat Lunak

20171009_snps_bsimmballoons

Pertama Kali Dirilis di APAC, Iterasi Terbaru dari Keamanan Gedung dalam Model Kedewasaan Menunjukkan Lebih Banyak Organisasi yang Memulai Inisiatif Keamanan Perangkat Lunak mereka dengan Penilaian dan Meningkatkan Seiring Waktu

Singapura, @mcgallen #microwireinfo, 9 Oktober 2017 - Synopsys, Inc. (Nasdaq: SNPS) telah dirilis BSIMM8, versi terbaru dari model kematangan keamanan perangkat lunak terkemuka, yang didasarkan pada data dunia nyata dan membantu organisasi merencanakan, melaksanakan, dan mengukur inisiatif keamanan perangkat lunak (SSI) mereka. Pertama kali dirilis di APAC, iterasi kedelapan dari Building Security in Maturity Model (BSIMM) didasarkan pada data yang dikumpulkan dari komunitas terbesar hingga saat ini. BSIMM8 menunjukkan bahwa keamanan perangkat lunak menjadi prioritas bisnis yang kritis dengan lebih banyak organisasi yang membandingkan upaya mereka di awal siklus SSI mereka dan menggunakan hasil secara strategis untuk meningkatkan postur risiko mereka dari waktu ke waktu. Untuk mengunduh laporan, kunjungi https://www.bsimm.com/download.html.

“Dengan munculnya serangan yang tersebar luas dan semakin mengganggu yang menargetkan perangkat lunak yang rentan, kami melihat pergeseran dari pendekatan 'tembus dan tambal' yang reaktif menuju strategi yang lebih proaktif yang memberdayakan organisasi untuk membangun perangkat lunak yang aman secara sistematis dari awal,” kata Dr. Gary McGraw, wakil presiden teknologi keamanan di Synopsys. "Organisasi mulai memahami bahwa mereka dapat memitigasi risiko secara lebih efektif dengan membuat inisiatif keamanan perangkat lunak, menilai kekuatan dan kelemahan mereka sejak dini melalui instrumen seperti BSIMM, dan memfokuskan upaya mereka pada praktik dan aktivitas yang paling sesuai."

BSIMM8 mencakup data yang dikumpulkan dari 109 perusahaan dan menjelaskan hasil kerja 4,769 profesional keamanan perangkat lunak, yang menampilkan ilmu di balik praktik terbaik keamanan perangkat lunak. Pekerjaan mereka memandu dan memaksimalkan upaya keamanan dari hampir 300,000 pengembang di sekitar 95,000 aplikasi. Perusahaan BSIMM8 mewakili vertikal industri termasuk layanan keuangan, vendor perangkat lunak independen (ISV), cloud, perawatan kesehatan, Internet of Things (IoT), dan asuransi.

Temuan utama dari studi BSIMM8:

  • Organisasi menggunakan BSIMM untuk memulai SSI mereka. BSIMM8 memperkenalkan perusahaan pada tahap awal siklus hidup SSI, sebagaimana dibuktikan dengan sedikit penurunan dalam rata-rata skor jatuh tempo1 (33.1, turun dari 33.9 di BSIMM7) dan usia kelompok keamanan perangkat lunak rata-rata (3.88 tahun, turun dari 3.94 di BSIMM7) dari Populasi BSIMM. Pembandingan SSI adalah salah satu langkah penting pertama dalam perjalanan keamanan perangkat lunak.
  • Perusahaan BSIMM menjadi dewasa seiring waktu. Perusahaan yang telah berpartisipasi dalam beberapa penilaian BSIMM menunjukkan tren peningkatan yang jelas, dengan skor meningkat rata-rata 10.3, atau 33.4 persen. Pembandingan adalah latihan yang efektif dalam memandu organisasi di sepanjang jalur yang optimal menuju pembuatan perangkat lunak yang aman secara konsisten.
  • Kematangan bervariasi menurut industri. Setiap industri memprioritaskan aktivitas tertentu di atas yang lain, dan setiap industri serta organisasi individu memiliki jalur yang berbeda dalam membangun keamanan. Rata-rata, perusahaan cloud, layanan keuangan, dan ISV lebih matang daripada perusahaan di bidang perawatan kesehatan, IoT, dan asuransi. Perusahaan layanan keuangan dan cloud memiliki skor yang lebih tinggi dalam praktik kepatuhan dan kebijakan, sementara perusahaan IoT memiliki praktik lingkungan perangkat lunak yang paling matang.

Menurut Gartner, “Keamanan aplikasi memerlukan pendekatan terprogram yang terstruktur untuk menghadapi kekacauan teknologi baru yang tampak dan lanskap ancaman yang terus berkembang. Program keamanan aplikasi yang berhasil harus merupakan kombinasi yang seimbang antara orang, proses, dan teknologi. ”2

BSIMM mengamati perusahaan yang telah menetapkan inisiatif keamanan perangkat lunak nyata, mengukur terjadinya 113 aktivitas untuk menunjukkan kesamaan yang dimiliki oleh banyak inisiatif serta variasi yang membuat setiap inisiatif unik. Data BSIMM menunjukkan bahwa inisiatif dengan kematangan tinggi bersifat menyeluruh — melakukan banyak aktivitas di semua 12 praktik yang dijelaskan oleh model. Organisasi dapat menggunakan BSIMM untuk membandingkan inisiatif dan menentukan aktivitas tambahan mana yang mungkin berguna.

Ucapan Terima Kasih
McGraw bersama dengan Sammy Migues, ilmuwan utama di Synopsys, dan Jacob West, kepala arsitek di NetSuite, menganalisis data yang dikumpulkan selama sembilan tahun terakhir penelitian keamanan perangkat lunak. Perusahaan yang berpartisipasi dalam penilaian meliputi: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco , Citigroup, Citizen's Bank, Comerica Bank, Cryptography Research (sebuah divisi dari Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Grup Keuangan Utama, Qualcomm, Royal Bank of Canada, Game Ilmiah, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, Dewan Penasihat, The Home Depot, The Vanguard Group, Jalur Kereta Api, Trane, US Ba nk, Veritas, Verizon, Wells Fargo, Zendesk, dan Zephyr Health.

1. Skor BSIMM mencerminkan jumlah total aktivitas keamanan perangkat lunak yang diamati selama penilaian inisiatif keamanan perangkat lunak perusahaan. Setiap aktivitas bernilai satu poin dan kerangka BSIMM mencakup 113 aktivitas.

2. Sumber: Gartner, “A Guidance Framework for Establishing and Maturing an Application Security Program”, 23 Desember 2016, Michael Isbitski & Ramon.

Tentang BSIMM
Dimulai pada tahun 2008, Building Security in Maturity Model (BSIMM) adalah alat untuk mengukur dan mengevaluasi inisiatif keamanan perangkat lunak. Model berbasis data dan alat pengukuran yang dikembangkan melalui studi dan analisis yang cermat terhadap inisiatif keamanan perangkat lunak, BSIMM mencakup data dunia nyata dari lebih dari 100 organisasi. BSIMM adalah standar terbuka yang mencakup kerangka kerja berdasarkan praktik keamanan perangkat lunak, yang dapat digunakan organisasi untuk menilai usahanya sendiri dalam keamanan perangkat lunak. Untuk informasi lebih lanjut, kunjungi https://www.bsimm.com.

Tentang Platform Integritas Perangkat Lunak Synopsys
Synopsys menawarkan solusi paling komprehensif untuk membangun integritas — keamanan dan kualitas — ke dalam siklus hidup pengembangan perangkat lunak dan rantai pasokan. Platform Integritas Perangkat Lunak menyatukan teknologi pengujian terkemuka, analisis otomatis, dan para ahli untuk membuat portofolio produk dan layanan yang kuat. Portofolio ini memungkinkan perusahaan mengembangkan program yang dipersonalisasi untuk mendeteksi dan memulihkan cacat dan kerentanan di awal proses pengembangan, meminimalkan risiko, dan memaksimalkan produktivitas. Synopsys, pemimpin yang diakui dalam pengujian keamanan aplikasi, diposisikan secara unik untuk beradaptasi dan menerapkan praktik terbaik ke teknologi dan tren baru seperti IoT, DevOps, CI / CD, dan Cloud. Untuk informasi lebih lanjut, kunjungi www.synopsys.com/software.

Tentang Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #