ポストする

編集者の概要:アメリカの建国の父であり博学者の一人であるベンジャミン・フランクリンはかつて、「教えてください。忘れて、教えてください。覚えているかもしれませんが、私を巻き込んで学びます」と言いました。 同様に、DevOpsとサイバーセキュリティのますます複雑化する世界では、新たな脅威と進行中の脅威が計り知れないため、ソフトウェアを最初から正しく安全に設計するという「左シフト」パラダイムは完全に理にかなっています。 それでは、現在第128版が実行されている、BSIMM12(Building Security in Maturity Model)の形式で、12の著名な組織のベストプラクティスから何を学び、採用できるでしょうか。 ベンダーのリリースは以下のとおりです。

シノプシスは、オープンソース、クラウド、およびコンテナのセキュリティへの取り組みにおける顕著な成長に焦点を当てたBSIMM12調査を公開しています

Building Security In Maturity Modelの12回目の反復は、注目を集めるランサムウェアとソフトウェアサプライチェーンの混乱を反映しており、ソフトウェアセキュリティへの注目が高まっています。

シンガポール、@ mcgallen#microwire情報、29年2021月XNUMX日シノプシス株式会社 (ナスダック:SNPS)本日発表 BSIMM12の最新バージョン 成熟度モデルでのセキュリティの構築(BSIMM) 組織がソフトウェアセキュリティイニシアチブを計画、実行、測定、および改善するのを支援するために作成されたレポート。 BSIMM12は、金融サービス、FinTech、独立系ソフトウェアベンダー、クラウド、ヘルスケア、モノのインターネットなど、複数の業界の128の企業で観察されたソフトウェアセキュリティ慣行を反映しています。 BSIMM12は、約3,000人のソフトウェアセキュリティグループメンバーと6,000人を超える衛星メンバーの作業について説明しています。 BSIMMは、世界中の組織で、独自のイニシアチブをより広範なBSIMMコミュニティのデータと比較および対比するための測定棒として使用されています。

BSIMM12のデータは、過去61年間でソフトウェアセキュリティグループによるオープンソースの識別と管理がXNUMX%増加したことを示しています。これは、最新のソフトウェアでのオープンソースコンポーネントの普及と、人気のあるオープンソースプロジェクトをベクトルとして使用する攻撃の増加によるものです。

クラウドプラットフォームとコンテナテクノロジーに関連する活動の成長は、これらのテクノロジーが組織のソフトウェアの使用方法と保護方法に劇的な影響を与えたことを示しています。 たとえば、「コンテナと仮想化環境のオーケストレーションの使用」の観察結果は、過去560年間でXNUMX%増加しました。

「過去18か月間、組織はデジタルトランスフォーメーションイニシアチブの大幅な加速を経験しました。 これにより、ソフトウェア環境とクラウドテクノロジースタックを展開および管理するためのソフトウェア定義アプローチの採用が増加しました」と、BSIMMコミュニティのメンバー組織である連邦海軍信用組合の情報セキュリティプリンシパルであるマイクウェアは述べています。 「これらの変更の複雑さとペースを考えると、セキュリティチームが自分たちの立場を理解し、次にピボットする場所を参照できるツールを用意することがこれまで以上に重要になっています。 BSIMMは、そのような目的を果たすための管理ツールです。 BSIMMは、組織がポリシーなどのソフトウェア定義のセキュリティ機能を実装するための戦略を、最新のソフトウェア開発の原則と実践に合わせるためのコードとしてどのようにシフトしているかについて、独自のレンズを提供します。」

「BSIMMの調査により、組織は現在のセキュリティ慣行をベンチマークして、セキュリティランドスケープの新たなトレンドに対応して優先順位を確立し、視点を維持できるようになります」と、GenetecInc。のメンバー組織であるGenetecInc。のリードセキュリティアーキテクトであるMathieuChevalierは述べています。 BSIMMコミュニティ。 「BSIMMの記述モデルは、組織がソフトウェアセキュリティイニシアチブの構築を開始する方法を決定し、それを効果的に成熟させるのに役立ちます。 特に共有責任モデルに関するBSIMM12の観察は、セキュリティリーダーが、セキュリティ戦略の潜在的なギャップに対応し、それを緩和するためにどのように進化しているかを検討するように促すはずです。」

「BSIMMの調査は、業界のベストプラクティスへのアクセスという点で非常に一致しています。 複数の開発チームで観察されたさまざまな開発セキュリティ活動の成熟度を理解するために使用できます」と、BSIMMコミュニティのメンバー組織であるLandis + GyrのCISOであるToddWiedmanは述べています。 「ソフトウェア開発の実践が急速に加速しているため、BSIMM12データは、セキュリティ開発プログラムで実際に起こっている変化を示しています。 この情報を使用して、組織はイノベーションを損なうことなく、組織と顧客を保護するために独自の戦略を適応させることができます。」

「製品およびデータセキュリティプログラムの一環として、BSIMMフレームワークを使用して、セキュリティ戦略の推進を支援してきました」と、BSIMMコミュニティのメンバー組織であるFinastraの製品およびデータセキュリティプログラムのディレクターであるVinodRaghavanは述べています。 「これは、金融サービスと他の業界の両方で他の組織とのベンチマークを行い、セキュリティの成熟度をサポートするのに役立ちました。」

BSIMM12の新しいトレンド

  • 注目を集めるランサムウェアとソフトウェアサプライチェーンの混乱により、ソフトウェアセキュリティへの注目が高まっています。 過去61年間で、BSIMMデータは、参加組織間で「オープンソースの特定」アクティビティが57%増加し、「SLAボイラープレートの作成」アクティビティがXNUMX%増加したことを示しています。
  • 企業はリスクを数値に変換する方法を学んでいます。 組織は、ソフトウェアセキュリティイニシアチブデータの収集と公開にさらに力を入れています。これは、過去30か月間に「ソフトウェアセキュリティに関するデータを内部で公開する」アクティビティが24%増加したことで実証されています。
  • クラウドセキュリティの機能が向上しました。 おそらくエンジニアリング主導の取り組みと組み合わされた経営陣の注目の高まりにより、組織はクラウドセキュリティを管理し、責任分担モデルを評価するための独自の機能を開発するようになりました。 通常、クラウドセキュリティに関連するアクティビティ全体で、過去36年間に平均XNUMX件の新しい観測がありました。
  • セキュリティチームは、リソース、スタッフ、知識をDevOpsプラクティスに貸し出しています。BSIMMデータは、ソフトウェアセキュリティグループによるソフトウェアセキュリティ行動の義務化からパートナーシップの役割へのシフトを示しています。つまり、ソフトウェア配信のクリティカルパスにセキュリティの取り組みを含めることを目的として、リソース、スタッフ、知識をDevOpsプラクティスに提供します。
  • ソフトウェア部品表の活動は367%増加しました。 BSIMMデータは、ソフトウェアのインベントリに焦点を当てた機能の増加を示しています。 ソフトウェアの部品表(BOM)を作成する。 ソフトウェアがどのように構築、構成、および展開されたかを理解する。 セキュリティテレメトリに基づいて再展開する組織の能力を向上させます。 多くの組織が包括的で最新のソフトウェアBOMの必要性を心に留めていることを示し、これらの機能に関連するBSIMMアクティビティ(「運用部品表によるアプリケーションインベントリの強化」)は、過去に3回から14回の観察に増加しました。 367年間-XNUMX%の増加。
  • 「左シフト」は「どこでもシフト」に進みます。 「左シフト」の概念は、開発プロセスの早い段階でセキュリティテストを移動することに焦点を当てています。 「Shifteverywhere」は、ソフトウェアのライフサイクル全体を通じてセキュリティテストを継続的に行うという考え方を拡張します。これには、設計中または本番環境全体でさえも、最も早い機会に実施される、より小さく、より高速なパイプライン主導のセキュリティテストが含まれます。

従来の運用インベントリの維持から自動資産検出および部品表の作成への移行には、コンテナを使用してセキュリティ制御を実施する、オーケストレーション、インフラストラクチャをコードとしてスキャンするなどの「どこにでもシフト」アクティビティを追加することが含まれます。 「部品表の操作によるアプリケーションインベントリの強化」、「コンテナと仮想化環境のオーケストレーションの使用」、「自動資産作成の監視」などのアクティビティのBSIMM観察率の増加は、すべてこの傾向を示しています。

シノプシスソフトウェアインテグリティグループのゼネラルマネージャーであるジェイソンシュミットは、次のように述べています。 「平均年齢は2008歳で、BSIMM参加組織のソフトウェアセキュリティイニシアチブは、組織が最新の開発および展開慣行の新しいダイナミクスに対処するためにアプローチをどのように適応させているかを反映しています。 この情報を使用して、組織はイノベーションを弱めることなく、組織と顧客を保護するために独自の戦略を適応させることができます。」

詳細については、 BSIMM12の洞察と傾向。 BSIMM12の主な調査結果についてのインタラクティブなディスカッションについては、 21月XNUMX日のウェビナーに登録する.

謝辞

SynopsysのプリンシパルサイエンティストであるSammyMigues、SynopsysのマネージングプリンシパルであるEli Erlikhman、SynopsysのプリンシパルセキュリティコンサルタントであるJacob Ewers、GeminiのアプリケーションセキュリティディレクターであるKevin Nasseryは、12年近くのソフトウェアセキュリティ研究で収集されたデータを分析した後、BSIMM13を作成しました。 BSIMM調査に参加している企業には、AARP、Adobe、Aetna、Alibaba、Ally Bank、Autodesk、Axway、Bank of America、Bell、Black Knight Financial Services、Canadian Imperial Bank of Commerce、Cisco、Citigroup、Depository Trust& Clearing Corporation、Eli Lilly、eMoney Advisor、EQ Bank、Equifax、F-Secure、Fannie Mae、Finastra、Freddie Mac、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、Honeywell、HSBC、iPipeline、Johnson&Johnson、Landis + Gyr、Lenovo、MassMutual、McKesson、Medtronic、MediaTek、Morningstar、Navient、Navy Federal Credit Union、NCR、NEC Platforms、NetApp、NewsCorp、NVIDIA、Oppo、PayPal、Pegasystems、Principal Financial Group、RB、SambaSafety、ServiceNow、Synopsys、 TD Ameritrade、Teradata、The Home Depot、The Vanguard Group、Trainline、Trane、US Bank、Veritas、Verizon Media

BSIMMについて

2008年に開始されたBuilding Security In Maturity Model(BSIMM)は、ソフトウェアセキュリティイニシアチブを作成、測定、評価するためのツールです。 BSIMM200には、11を超えるソフトウェアセキュリティイニシアチブの綿密な調査と分析を通じて開発されたデータ駆動型モデルと測定ツールであり、128の組織からの最新の実際のデータが含まれています。 BSIMMは、ソフトウェアセキュリティの実践に基づくフレームワークを含むオープンスタンダードであり、組織はこれを使用して、ソフトウェアセキュリティにおける独自の取り組みを評価および成熟させることができます。 詳細については、 www.bsimm.com.

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 シノプシスはS&P 500企業として、電子設計自動化(EDA)および半導体IPの世界的リーダーである長い歴史があり、業界で最も幅広いアプリケーションセキュリティテストツールおよびサービスのポートフォリオを提供しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、より安全で高品質のコードを作成するソフトウェア開発者でも、シノプシスは革新的な製品を提供するために必要なソリューションを提供します。 詳細については、 www.synopsys.com.

###