BSIMM8調査では、ソフトウェアセキュリティイニシアチブの初期段階での重要な演習としてのベンチマークを強化しています

20171009_snps_bsimmballoons

APACで初めてリリースされた、成熟度の建物セキュリティモデルの最新の反復は、より多くの組織が、評価を使用してソフトウェアセキュリティイニシアチブを飛躍的に開始し、時間とともに改善することを示しています

シンガポール、@ mcgallen#microwire情報、9年2017月XNUMX日– シノプシス株式会社 (ナスダック:SNPS)がリリースされました BSIMM8、主要なソフトウェアセキュリティ成熟度モデルの最新バージョン。これは、実際のデータに基づいており、組織がソフトウェアセキュリティイニシアチブ(SSI)を計画、実行、測定するのに役立ちます。 APACで初めてリリースされた、Building Security in Maturity Model(BSIMM)の8回目の反復は、最大のコミュニティから現在までに収集されたデータに基づいています。 BSIMMXNUMXは、より多くの組織がSSIライフサイクルの早い段階で取り組みをベンチマークし、その結果を戦略的に使用してリスクの状態を長期的に改善することで、ソフトウェアセキュリティがビジネスの重要な優先事項になりつつあることを示しています。 レポートをダウンロードするには、 https://www.bsimm.com/download.html.

「脆弱なソフトウェアを標的とした広範囲に分散し、ますます破壊的な攻撃の台頭により、組織が安全にソフトウェアを根本から構築できるようにする、より積極的な戦略への反応的な「侵入とパッチ」アプローチからのシフトが見られます。シノプシスのセキュリティ技術担当副社長、ゲイリー・マッグロウ。 「組織は、ソフトウェアセキュリティイニシアチブを確立し、BSIMMなどの手段を通じて長所と短所を早期に評価し、最も適切なプラクティスとアクティビティに彼らの努力を集中させることで、リスクをより効果的に軽減できることを理解し始めています。」

BSIMM8には、109の企業から収集されたデータが含まれており、ソフトウェアセキュリティのベストプラクティスの背後にある科学を紹介し、4,769名のソフトウェアセキュリティの専門家の仕事について説明しています。 彼らの仕事は、約300,000のアプリケーションにわたって、約95,000人の開発者のセキュリティへの取り組みを導き、最大化します。 BSIMM8企業は、金融サービス、独立系ソフトウェアベンダー(ISV)、クラウド、ヘルスケア、モノのインターネット(IoT)、保険などの業界を代表しています。

BSIMM8調査の主な結果:

  • 組織はBSIMMを使用してSSIを迅速に開始します。 BSIMM8は、SSIライフサイクルの初期段階にある企業を紹介しています。これは、 BSIMM人口。 SSIベンチマークは、ソフトウェアセキュリティの旅における極めて重要な最初のステップの1つです。
  • BSIMM企業は時間とともに成熟する。 複数のBSIMM評価に参加した企業は改善の明確な傾向を示し、スコアは平均10.3、つまり33.4%増加しています。 ベンチマークは、安全なソフトウェアを一貫して構築するための最適なパスに沿って組織を導く上で効果的な演習です。
  • 成熟度は業界によって異なります。 各業界は特定の活動を他の業界よりも優先しており、すべての業界と個々の組織は、セキュリティの構築に向けて異なるパスを持っています。平均して、クラウド、金融サービス、およびISV企業は、ヘルスケア、IoT、および保険の企業よりも成熟しています。 金融サービスとクラウド企業は、コンプライアンスとポリシーの実践において特に高いスコアを獲得していますが、IoT企業は最も成熟したソフトウェア環境の実践を行っています。

ガートナーによると、「アプリケーションのセキュリティには、新しいテクノロジーの出現の混乱と進化する脅威の状況に対処するための構造化されたプログラムによるアプローチが必要です。 成功するアプリケーションセキュリティプログラムは、人、プロセス、テクノロジーのバランスの取れた組み合わせでなければなりません。」2

BSIMMは、実際のソフトウェアセキュリティイニシアチブを確立した企業を観察し、113のアクティビティの発生を定量化して、多くのイニシアチブによって共有される共通の基盤と、各イニシアチブをユニークにするバリエーションを示しています。 BSIMMデータは、成熟度の高いイニシアチブが十分にバランスが取れていることを示しており、モデルで記述されている12のプラクティスすべてで多数のアクティビティを実行しています。 組織はBSIMMを使用して、イニシアチブを比較し、どの追加のアクティビティが役立つかを判断できます。

謝辞
McGraw博士は、Synopsysの主任科学者であるSammy Migues、およびNetSuiteのチーフアーキテクトであるJacob Westとともに、過去XNUMX年間のソフトウェアセキュリティ研究中に収集されたデータを分析しました。 評価に参加している企業には、Adobe、Aetna、Amgen、ANDA、Autodesk、Axway、Bank of America、Betfair、BMO Financial Group、Black Knight Financial Services、Box、Canadian Imperial Bank of Commerce、Capital One、City National Bank、Ciscoが含まれます。 、Citigroup、Citizen's Bank、Comerica Bank、Cryptography Research(Rambusの一部門)、Dell EMC、Depository Trust&Clearing Corporation、Elavon、Ellucian、Epsilon、Experian、F-Secure、Fannie Mae、Fidelity、Freddie Mac、General Electric、 Genetec、Highmark Health Solutions、Horizo​​n Healthcare、Services、Inc.、HPE Fortify、HSBC、Independent Health、iPipeline、JPMorgan Chase&Co.、Lenovo、LGE、LinkedIn、McKesson、Medtronic、Morningstar、Navient、NetApp、NVIDIA、NXP Semiconductors NV、Oracle NSGBU、PayPal、Principal Financial Group、Qualcomm、Royal Bank of Canada、Scientific Games、Siemens、Sony Mobile、Splunk、Symantec、Synopsys SIG、Target、TD Ameritrade、Advisory Board、The Home Depot、The Vanguard Group、 Trainline、Trane、US Ba nk、Veritas、Verizon、Wells Fargo、Zendesk、およびZephyrHealth。

1. BSIMMスコアは、企業のソフトウェアセキュリティイニシアチブの評価中に観察されたソフトウェアセキュリティ活動の総数を反映しています。 各アクティビティは113ポイントの価値があり、BSIMMフレームワークにはXNUMXのアクティビティが含まれます。

2.出典:Gartner、「アプリケーションセキュリティプログラムを確立および成熟させるためのガイダンスフレームワーク」、23年2016月XNUMX日、Michael Isbitski&Ramon。

BSIMMについて
2008年に開始されたBuilding Security in Maturity Model(BSIMM)は、ソフトウェアセキュリティイニシアチブを測定および評価するためのツールです。 BSIMMは、ソフトウェアのセキュリティイニシアチブを注意深く調査および分析して開発されたデータ駆動型モデルおよび測定ツールであり、100を超える組織からの実際のデータが含まれています。 BSIMMは、ソフトウェアセキュリティの実践に基づくフレームワークを含むオープンスタンダードであり、組織はこれを使用して、ソフトウェアセキュリティにおける独自の取り組みを評価できます。 詳細については、 https://www.bsimm.com.

Synopsys Software Integrity Platformについて
Synopsysは、ソフトウェア開発ライフサイクルとサプライチェーンに整合性(セキュリティと品質)を構築するための最も包括的なソリューションを提供します。 Software Integrity Platformは、主要なテスト技術、自動分析、および専門家を統合して、製品とサービスの堅牢なポートフォリオを作成します。 このポートフォリオにより、企業は開発プロセスの早い段階で欠陥や脆弱性を検出および修正し、リスクを最小化して生産性を最大化するための個別プログラムを開発できます。 アプリケーションセキュリティテストのリーダーとして認められているSynopsysは、IoT、DevOps、CI / CD、クラウドなどの新しいテクノロジーやトレンドにベストプラクティスを適用して適用する独自の立場にあります。 詳細については、 www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###