BSIMMの第11版に対して組織のDevSecOpsを確認する

markus-spiske-qjnAnF0jIGk-unsplash

編集者の概要:組織でDevOpsを実行している場合、特にすべてのノード、ソフトウェア、システムに侵入する今日の脅威アクターの世界に対して、ソフトウェアの品質とセキュリティの両方を同時に確保することが不可欠です。 BSIMM(Building Security In Maturity Model)(BSIMM11)の第11版は、金融サービス、フィンテック、ISV、クラウド、ヘルスケア、IoT、小売などの業界の130社のトポグラフィーを反映しています。 ベンダーのニュースリリースは以下のとおりです。

Synopsysは、DevOpsとデジタルトランスフォーメーションに対応したソフトウェアセキュリティイニシアチブの根本的な変化を強調するBSIMM11調査を公開

em> Building Security In Maturity Modelの11回目の反復は、組織が最新のソフトウェア開発パラダイムをサポートするためにソフトウェアセキュリティの取り組みをどのように適応させているかを反映しています。

シンガポール、@ mcgallen#microwire情報、16年2020月XNUMX日 - シノプシス株式会社 (ナスダック:SNPS)本日発表 BSIMM11の最新バージョン 成熟度モデルでのセキュリティの構築(BSIMM)、組織がソフトウェアセキュリティイニシアチブ(SSI)の計画、実行、測定、および改善を支援するために作成されました。 BSIMM11は、金融サービス、FinTech、独立系ソフトウェアベンダー、クラウド、ヘルスケア、モノのインターネット、保険、小売など、複数の業種の130の企業で観察されたソフトウェアセキュリティの実践を反映しています。 BSIMM11は、8,457万人以上の開発者の努力を導く490,000のソフトウェアセキュリティ専門家の仕事を説明しています。

BSIMMは、独自のイニシアチブをより広範なBSIMMコミュニティからのデータと比較および対比するための測定棒として組織によって使用されます。 BSIMM11は、多くの組織がデジタルセキュリティの変革とDevOpsのような最新のソフトウェア開発パラダイムをサポートするためにソフトウェアセキュリティの取り組みを適応させていることを示しています。

「BSIMMは、特に新しいまたは新たな課題を解決するために、仲間の集合的な経験から学ぶことに関心のあるセキュリティリーダーにとって優れたリソースです。」 マイク・ニューボーン、BSIMMコミュニティのメンバー組織である海軍連邦信用組合のCISO。 「今日、ほとんどの組織は、急速に進化し加速しているソフトウェア開発手法を背景に、増大するアプリケーションのポートフォリオを保護するという課題に直面しています。 BSIMM11は、イノベーションを抑制したり、開発のスピードを妨げたりせずに、自分や顧客を保護するためにソフトウェアセキュリティ戦略をどれだけ多くの企業が採用しているかを反映しています。」

BSIMM11の新しいトレンド

  • エンジニアリング主導のソフトウェアセキュリティの取り組みは、回復力を追求するDevOpsバリューストリームに貢献しています。 BSIMM11は、CI / CDの計装と運用のオーケストレーションが多くの組織のソフトウェアセキュリティイニシアチブの標準コンポーネントになり、それらがどのように組織され、設計され、実行されるかに影響を与えていることを示しています。 たとえば、ソフトウェアセキュリティチームは(ITセキュリティチームやCISOとは対照的に)テクノロジーグループまたはCTOへの報告を増やし、社内での人材の採用と編成の方法を変えています。
  • ソフトウェア定義のセキュリティガバナンスは、単なる願望ではありません。 組織は、高摩擦のアウトオブバンドセキュリティアクティビティを、CI / CDパイプライン実行のイベントによってトリガーされる自動アクティビティに置き換えています。 人間のプロセスと意思決定をアルゴリズムに変換することは、組織がリソースの制約とケイデンス管理の問題にますます取り組む方法のXNUMXつです。 
  • 「左シフト」は「どこでもシフト」になりつつあります。 「左シフト」の概念の実装は、開発サイクルの早い段階でいくつかのセキュリティテストを実行するという文字どおりの解釈から、レビューするアーティファクトが利用可能になり次第セキュリティアクティビティを実行するように進化しました。 これは、これまでアクティビティが実行されていた場所の左側を意味する場合がありますが、多くの場合、生産を含めて右側です。
  • BSIMMデータプールへのFinTechバーティカルの導入。 金融業界で増加している企業のデータプールを注意深く検討したところ、特に金融サービスソフトウェアに効果的なISVである企業を説明するために、別の業界を追加する必要があることが明らかになりました。

「最近のソフトウェアの構築と展開の方法は過去数年で劇的に変化しました。当然、そのソフトウェアを保護するために必要な取り組みも変化しています」と、BSIMMの共同執筆者であり、Synopsysの技術担当シニアディレクターであるMichael Ware氏は述べています。 「ビジネスはソフトウェアに大きく依存しており、最新の方法論は開発のスピードを加速しています。 その結果、至る所にソフトウェアが増えており、既存のすべてのソフトウェアについて心配する必要があります。 BSIMMは、世界中の数百のソフトウェアセキュリティグループ(世界中の最先端のチームの一部を含む)が実際に使用している実践を表すために絶えず進化するモデルとして、これらの変更の状況をほぼリアルタイムで表示します成長するソフトウェアポートフォリオを保護するために実装されました。」

BSIMMの新しいアクティビティは、DevSecOpsへのシフトを表しています

BSIMM10に追加された3.4つのアクティビティは、過去3.3年間で並外れた成長を見せました(SM3.5統合ソフトウェア定義ライフサイクルガバナンス、AM11監視自動資産作成、CMVM3.6運用インフラストラクチャセキュリティの自動検証)。 これは、一部の組織がソフトウェアセキュリティの取り組みを加速してソフトウェア配信のペースに合わせるために積極的に取り組んでいる方法を反映しています。 さらに、BSIMM3.6で追加されたXNUMXつのアクティビティは、その傾向の継続を表しています(STXNUMXイベント駆動型セキュリティテストの実装、CMVMXNUMX展開可能なアーティファクトのリスクデータの公開)。

業界全体のBSIMM

BSIMMは、さまざまな業界にわたるソフトウェアセキュリティイニシアチブの相対的な長所と短所を理解および比較するために、データ駆動型の独自の洞察を提供します。 クラウド、モノのインターネット、ハイテク企業は、BSIMM11データプールで最も成熟した業種の11つです。 BSIMMXNUMXは、金融サービス、ヘルスケア、保険のXNUMXつの規制の厳しい業界の違いも強調しています。 他の業界よりも早くソフトウェアセキュリティグループが導入されていた金融サービス業界は、ヘルスケアや保険のカウンターパートと比較して、より成熟した慣行を持っているように見えました。 BSIMMは初めて、FinTech垂直市場のデータを提示し、トレーニング、セキュリティテスト、およびコードレビュープラクティスで発生するプライマリデルタ(FinTechを支持する)が金融サービスにかなり密接に追跡していることを発見しました。

読む BSIMM11ダイジェスト または完全なダウンロード BSIMM11調査.

BSIMM11の重要な発見についてのライブディスカッションについては、15月XNUMX日のウェビナーに登録してください。 BSIMM11:DevSecOpsの進化

謝辞

Synopsysの主任科学者であるSammyMigues、Synopsysの技術担当シニアディレクターであるMichael Ware、およびAedifySecurityの創設者であるJohnStevenは、11年近くのソフトウェアセキュリティ研究で収集されたデータを分析した後、BSIMM12を作成しました。 BSIMM調査に参加している企業には、Adobe、Aetna、Alibaba、Ally Bank、Autodesk、Axway、Bank of America、Bell、BMO Financial Group、Black Knight Financial Services、Box、Canadian Imperial Bank of Commerce、City NationalBankなどがあります。 、Cisco、Citigroup、Dahua、Depository Trust&Clearing Corporation、Eli Lilly、Equifax、Experian、F-Secure、Fannie Mae、Freddie Mac、General Electric、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、Honeywell、Horizo​​n Healthcare Services 、HSBC、iPipeline、Johnson&Johnson、JPMorgan Chase&Co.、Lenovo、MassMutual、McKesson、Medtronic、Morningstar、Navient、Navy Federal Credit Union、NCR、NEC Platforms、NetApp、NewsCorp、NVIDIA、PayPal、Pegasystems、Principal Financial Group 、Royal Bank of Canada、SambaSafety、ServiceNow、Synopsys、TD Ameritrade、The Home Depot、The Vanguard Group、Trainline、Trane、US Bank、Veritas、Verizon、Verizon Media、Wells Fargo、Zendesk。

BSIMMについて

2008年に開始されたBuilding Security In Maturity Model(BSIMM)は、ソフトウェアセキュリティイニシアチブを作成、測定、評価するためのツールです。 BSIMM200には、11を超えるソフトウェアセキュリティイニシアチブの綿密な調査と分析を通じて開発されたデータ駆動型モデルと測定ツールであり、130の組織からの最新の実際のデータが含まれています。 BSIMMは、ソフトウェアセキュリティの実践に基づくフレームワークを含むオープンスタンダードであり、組織はこれを使用して、ソフトウェアセキュリティにおける独自の取り組みを評価および成熟させることができます。 詳細については、 www.bsimm.com.

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて

Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###