Synopsys Merilis Studi BSIMM10 yang Menyoroti Dampak DevOps pada Keamanan Perangkat Lunak

20171108_synopsys_coverityfeat

Singapura, @mcgallen #microwireinfo, 19 September 2019 - Synopsys, Inc. (Nasdaq: SNPS) hari ini dirilis BSIMM10, versi terbaru dari Building Security In Maturity Model (BSIMM), dirancang untuk membantu organisasi merencanakan, melaksanakan, mematangkan, dan mengukur inisiatif keamanan perangkat lunak (SSI) mereka. Synopsys telah menggunakan BSIMM hampir 450 kali di 185 perusahaan selama dekade terakhir, dan iterasi ke-10 ini mencerminkan aktivitas keamanan perangkat lunak yang diamati di 122 perusahaan. BSIMM10 juga menyoroti dampak DevOps pada inisiatif keamanan perangkat lunak, munculnya gelombang baru upaya keamanan yang digerakkan oleh rekayasa, dan bagaimana kemajuan perusahaan melalui tiga fase kematangan keamanan perangkat lunak. Untuk mengunduh laporan, kunjungi www.bsimm.com/download.html.


“Sejak 2008, BSIMM telah berfungsi sebagai alat yang efektif untuk memahami bagaimana organisasi dari semua bentuk dan ukuran, termasuk beberapa tim keamanan paling canggih di dunia, menjalankan strategi keamanan perangkat lunak mereka,” kata Jim Routh, Kepala Informasi Perusahaan Manajemen Risiko di MassMutual. "Data BSIMM saat ini mencerminkan berapa banyak organisasi yang mengadaptasi pendekatan mereka untuk mengatasi dinamika baru praktik pengembangan dan penerapan modern, seperti siklus rilis yang lebih pendek, peningkatan penggunaan otomatisasi, dan infrastruktur yang ditentukan perangkat lunak."

BSIMM10 menjelaskan pekerjaan 7,900 profesional keamanan perangkat lunak yang upayanya memandu dan memaksimalkan upaya keamanan dari hampir 470,000 pengembang yang bekerja pada lebih dari 173,000 aplikasi. BSIMM10 mewakili perusahaan di vertikal industri termasuk layanan keuangan, teknologi tinggi, vendor perangkat lunak independen (ISV), cloud, perawatan kesehatan, Internet of Things (IoT), asuransi, dan ritel.

Temuan utama dari studi BSIMM10:

  • Dampak DevOps pada keamanan perangkat lunak: Data BSIMM menunjukkan bahwa gerakan DevOps dan adopsi perkakas integrasi berkelanjutan dan pengiriman berkelanjutan (CI / CD) memengaruhi cara perusahaan mendekati keamanan perangkat lunak. Hal ini terlihat dalam penambahan tiga aktivitas baru BSIMM yang mencerminkan bagaimana perusahaan secara aktif bekerja untuk mengotomatiskan aktivitas keamanan agar sesuai dengan kecepatan bisnis mereka memberikan fungsionalitas ke pasar. BSIMM10 juga menyertakan deskripsi dan contoh terbaru dari aktivitas yang ada untuk mencerminkan bagaimana mereka diimplementasikan sebagai bagian dari organisasi DevOps modern.
  • Gelombang baru budaya keamanan yang digerakkan oleh rekayasa: BSIMM10 adalah studi pertama yang secara formal mencerminkan perubahan dalam budaya SSI, diamati dalam gelombang baru upaya keamanan perangkat lunak yang dipimpin oleh rekayasa yang berasal dari bawah ke atas dalam tim pengembangan dan operasi daripada dari atas ke bawah dari grup keamanan perangkat lunak terpusat. Di beberapa organisasi, budaya keamanan yang dipimpin rekayasa telah mengatasi perjuangannya untuk membangun dan menumbuhkan upaya keamanan perangkat lunak yang berarti. Gelombang baru budaya keamanan yang digerakkan oleh rekayasa ini muncul sebagai respons terhadap tuntutan praktik pengiriman perangkat lunak modern seperti Agile dan DevOps serta gesekan yang tidak diinginkan dengan SSI yang ada.
  • Perusahaan menggunakan BSIMM untuk menavigasi perjalanan keamanan perangkat lunak mereka: BSIMM10 adalah edisi pertama yang mendefinisikan tiga fase kematangan SSI - muncul, matang, optimal - dan menjelaskan bagaimana perusahaan yang berbeda biasanya maju melaluinya. Data BSIMM menunjukkan bahwa organisasi meningkat secara nyata dari waktu ke waktu, dan banyak yang mencapai tingkat kedewasaan di mana mereka fokus pada kedalaman, keluasan, dan skala aktivitas yang mereka lakukan daripada selalu mengupayakan lebih banyak aktivitas.

“Memimpin inisiatif keamanan perangkat lunak yang efektif merupakan tantangan, dan perubahan teknologi dan organisasi yang dramatis yang dibawa oleh DevOps dan CI / CD tidak membuat tugas itu lebih mudah,” kata Sammy Migues, Ilmuwan Utama di Synopsys. “Sebagai alat yang terus berkembang untuk mencerminkan pengalaman ratusan grup keamanan perangkat lunak di seluruh dunia, BSIMM dan komunitasnya adalah sumber daya yang tak ternilai, baik Anda baru saja memulai perjalanan, ingin mengoptimalkan program Anda, atau bergulat dengan tantangan baru . ”

BSIMM mencakup data yang dikumpulkan dari perusahaan yang telah menetapkan SSI nyata, menghitung terjadinya 119 aktivitas untuk menunjukkan kesamaan yang dimiliki oleh banyak inisiatif serta variasi yang membuat setiap inisiatif unik. Data BSIMM menunjukkan bahwa inisiatif dengan kematangan tinggi bersifat menyeluruh, melakukan banyak aktivitas di semua 12 praktik yang dijelaskan oleh model. Organisasi dapat menggunakan BSIMM untuk membandingkan inisiatif dan menentukan aktivitas tambahan mana yang mungkin berguna untuk mendukung strategi mereka secara keseluruhan.

Ucapan Terima Kasih
Sammy Migues, Ilmuwan Utama di Synopsys, Michael Ware, Kepala Sekolah di Synopsys, dan John Steven, Kepala Petugas Teknologi di ZeroNorth, menulis BSIMM10 setelah menganalisis data yang dikumpulkan selama 11 tahun terakhir penelitian keamanan perangkat lunak. Beberapa perusahaan yang berpartisipasi dalam studi BSIMM antara lain: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, Umum Electric, Genetec, Pembayaran Global, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Grup Keuangan Utama, Royal Bank of Canada, Permainan Ilmiah, Grup Integritas Perangkat Lunak Synopsys, TD Ameritrade, The Home Depot, Grup Vanguard, Trainline, Trane, Bank AS, Veritas, Verizon, Wells Fargo, dan Zendesk.

Tentang BSIMM
Dimulai pada tahun 2008, Building Security In Maturity Model (BSIMM) adalah alat untuk mengukur dan mengevaluasi inisiatif keamanan perangkat lunak. Model berbasis data dan alat pengukuran yang dikembangkan melalui studi dan analisis yang cermat atas inisiatif keamanan perangkat lunak, BSIMM mencakup data dunia nyata dari lebih dari 120 organisasi. BSIMM adalah standar terbuka yang mencakup kerangka kerja berdasarkan praktik keamanan perangkat lunak, yang dapat digunakan organisasi untuk menilai usahanya sendiri dalam keamanan perangkat lunak. Untuk informasi lebih lanjut, kunjungi www.bsimm.com.

Tentang Grup Integritas Perangkat Lunak Synopsys
Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak berkualitas tinggi yang aman, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim untuk dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan di sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di https://www.synopsys.com/software.

Tentang Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di https://www.synopsys.com/.

# # #