Periksa DevSecOps organisasi Anda terhadap BSIMM edisi ke-11

markus-spiske-qjnAnF0jIGk-unsplash

Penjelasan singkat editor: Jika Anda menjalankan DevOps di organisasi Anda, hal yang terpenting adalah memastikan kualitas dan keamanan perangkat lunak pada saat yang sama, terutama terhadap dunia pelaku ancaman saat ini yang mengganggu setiap node, perangkat lunak, atau sistem. BSIMM (Building Security In Maturity Model) edisi ke-11, atau BSIMM11, mencerminkan topografi 130 perusahaan dari industri seperti layanan keuangan, fintech, ISV, cloud, perawatan kesehatan, IoT, dan ritel. Rilis berita vendor ada di bawah.

Synopsys Mempublikasikan Studi BSIMM11 Menyoroti Perubahan Mendasar dalam Inisiatif Keamanan Perangkat Lunak sebagai Tanggapan terhadap DevOps dan Transformasi Digital

em> Iterasi ke-11 dari Building Security In Maturity Model mencerminkan bagaimana organisasi mengadaptasi upaya keamanan perangkat lunak mereka untuk mendukung paradigma pengembangan perangkat lunak modern

SINGAPURA, @mcgallen #microwireinfo, 16 Sept 2020-Synopsys, Inc. (Nasdaq: SNPS) hari ini diterbitkan BSIMM11, versi terbaru dari Building Security In Maturity Model (BSIMM), dibuat untuk membantu organisasi merencanakan, melaksanakan, mengukur, dan meningkatkan inisiatif keamanan perangkat lunak (SSI) mereka. BSIMM11 mencerminkan praktik keamanan perangkat lunak yang diamati di 130 perusahaan dari berbagai vertikal industri termasuk layanan keuangan, FinTech, vendor perangkat lunak independen, cloud, perawatan kesehatan, Internet of Things, asuransi, dan ritel. BSIMM11 menjelaskan pekerjaan 8,457 profesional keamanan perangkat lunak yang memandu upaya lebih dari 490,000 pengembang.

BSIMM digunakan oleh organisasi sebagai tongkat pengukur untuk membandingkan dan membedakan inisiatif mereka sendiri dengan data dari komunitas BSIMM yang lebih luas. BSIMM11 menunjukkan bahwa banyak organisasi mengadaptasi upaya keamanan perangkat lunak mereka untuk mendukung transformasi digital dan paradigma pengembangan perangkat lunak modern seperti DevOps.

"BSIMM adalah sumber daya yang sangat baik bagi para pemimpin keamanan yang tertarik untuk belajar dari pengalaman kolektif rekan-rekan mereka, terutama untuk memecahkan tantangan baru atau yang muncul," kata Mike Newborn, CISO dari Navy Federal Credit Union, organisasi anggota komunitas BSIMM. “Saat ini, sebagian besar organisasi menghadapi tantangan untuk mengamankan portofolio aplikasi yang berkembang dengan latar belakang praktik pengembangan perangkat lunak yang berkembang pesat dan mempercepat. BSIMM11 mencerminkan berapa banyak dari organisasi ini yang mengadaptasi strategi keamanan perangkat lunak mereka untuk melindungi diri mereka sendiri dan pelanggan mereka tanpa menghambat inovasi atau menghambat kecepatan pengembangan. "

Tren yang muncul di BSIMM11

  • Upaya keamanan perangkat lunak yang dipimpin teknik berhasil berkontribusi pada aliran nilai DevOps dalam mengejar ketahanan. BSIMM11 menunjukkan bahwa instrumentasi CI / CD dan orkestrasi operasi telah menjadi komponen standar dari banyak inisiatif keamanan perangkat lunak organisasi, dan memengaruhi cara pengaturan, desain, dan pelaksanaannya. Misalnya, tim keamanan perangkat lunak semakin banyak melapor ke dalam grup teknologi atau CTO (sebagai lawan dari tim keamanan TI atau CISO) dan mengubah cara mereka merekrut dan mengatur bakat secara internal.
  • Tata kelola keamanan yang ditentukan perangkat lunak tidak lagi hanya aspiratif. Organisasi sedang mengganti beberapa aktivitas keamanan di luar jangkauan yang sangat rumit dengan aktivitas otomatis yang dipicu oleh aktivitas dalam eksekusi pipeline CI / CD. Mengubah proses manusia dan pengambilan keputusan menjadi algoritma adalah salah satu cara organisasi mengatasi kendala sumber daya dan masalah manajemen irama.
  • “Shift left” menjadi “shift where.” Implementasi konsep "shift left" telah berkembang dari interpretasi literal melakukan beberapa pengujian keamanan di awal siklus pengembangan menjadi melakukan aktivitas keamanan segera setelah artefak yang akan ditinjau tersedia. Itu bisa berarti di sebelah kiri tempat aktivitas secara historis dilakukan, tetapi sering kali, ke kanan, termasuk dalam produksi.
  • Pengenalan vertikal FinTech ke kumpulan data BSIMM. Setelah dengan hati-hati meninjau kumpulan data perusahaan yang berkembang di vertikal keuangan, menjadi jelas bahwa ada kebutuhan untuk menambahkan vertikal terpisah untuk memperhitungkan perusahaan yang secara efektif ISV khusus untuk perangkat lunak layanan keuangan.

“Cara perangkat lunak modern dibangun dan digunakan telah berubah secara dramatis selama beberapa tahun terakhir, jadi tentu saja upaya yang diperlukan untuk mengamankan perangkat lunak itu juga berubah,” kata Michael Ware, penulis bersama BSIMM dan direktur senior teknologi di Synopsys. “Bisnis sangat bergantung pada perangkat lunak, dan metodologi modern telah mempercepat kecepatan pengembangan. Akibatnya, ada lebih banyak perangkat lunak di mana-mana, dan kita masih perlu mengkhawatirkan semua perangkat lunak yang sudah ada sebelumnya. Sebagai model yang terus berkembang untuk merepresentasikan praktik aktual yang digunakan oleh ratusan grup keamanan perangkat lunak di seluruh dunia — termasuk beberapa tim paling canggih di dunia — BSIMM memberikan pandangan hampir seketika tentang bagaimana perubahan ini terjadi. diterapkan untuk melindungi portofolio perangkat lunak yang berkembang. ”

Aktivitas baru di BSIMM menunjukkan pergeseran menuju DevSecOps

Tiga aktivitas yang ditambahkan ke BSIMM10 mengalami pertumbuhan yang luar biasa dalam satu tahun terakhir (SM3.4 Integrasikan tata kelola siklus hidup yang ditentukan perangkat lunak, AM3.3 Monitor pembuatan aset otomatis, CMVM3.5 Verifikasi otomatis keamanan infrastruktur operasional). Ini mencerminkan bagaimana beberapa organisasi secara aktif bekerja untuk mempercepat upaya keamanan perangkat lunak agar sesuai dengan kecepatan pengiriman perangkat lunak. Selain itu, dua aktivitas yang ditambahkan dalam BSIMM11 mewakili kelanjutan dari tren tersebut (ST3.6 Menerapkan pengujian keamanan yang digerakkan oleh peristiwa, CMVM3.6 Menerbitkan data risiko untuk artefak yang dapat diterapkan).

BSIMM lintas industri

BSIMM memberikan wawasan unik berbasis data untuk memahami dan membandingkan kekuatan dan kelemahan relatif dari inisiatif keamanan perangkat lunak di berbagai industri. Cloud, Internet of Things, dan perusahaan teknologi tinggi adalah tiga dari vertikal paling matang dalam kumpulan data BSIMM11. BSIMM11 juga menyoroti perbedaan antara tiga industri yang diatur secara ketat: layanan keuangan, perawatan kesehatan, dan asuransi. Industri layanan keuangan, yang memiliki grup keamanan perangkat lunak lebih awal daripada industri lain, terlihat memiliki praktik yang lebih matang dibandingkan dengan rekan-rekan mereka dalam perawatan kesehatan dan asuransi. Untuk pertama kalinya, BSIMM menyajikan data di vertikal FinTech, dan menemukan bahwa ia melacak cukup dekat dengan layanan keuangan, dengan delta utama (mendukung FinTech) terjadi dalam pelatihan, pengujian keamanan, dan praktik peninjauan kode.

Baca BSIMM11 Digest atau unduh lengkapnya Studi BSIMM11.

Untuk diskusi langsung tentang temuan kunci di BSIMM11, daftar ke webinar 15 Oktober kami, BSIMM11: Evolusi DevSecOps

Ucapan Terima Kasih

Sammy Migues, ilmuwan utama di Synopsys, Michael Ware, direktur senior teknologi di Synopsys, dan John Steven, Kepala Pendiri di Aedify Security, menulis BSIMM11 setelah menganalisis data yang dikumpulkan selama hampir 12 tahun penelitian keamanan perangkat lunak. Beberapa perusahaan yang berpartisipasi dalam studi BSIMM antara lain: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Pembayaran Global, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo, dan Zendesk.

Tentang BSIMM

Dimulai pada tahun 2008, Building Security In Maturity Model (BSIMM) adalah alat untuk membuat, mengukur, dan mengevaluasi inisiatif keamanan perangkat lunak. Model berbasis data dan alat pengukuran yang dikembangkan melalui studi dan analisis yang cermat terhadap lebih dari 200 inisiatif keamanan perangkat lunak, BSIMM11 mencakup data dunia nyata terkini dari 130 organisasi. BSIMM adalah standar terbuka yang mencakup kerangka kerja berdasarkan praktik keamanan perangkat lunak, yang dapat digunakan organisasi untuk menilai dan mematangkan upayanya sendiri dalam keamanan perangkat lunak. Untuk informasi lebih lanjut, kunjungi www.bsimm.com.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #