Synopsysがソフトウェアセキュリティに対するDevOpsの影響を強調するBSIMM10調査をリリース

20171108_synopsys_coverityfeat

シンガポール、@ mcgallen#microwire情報、19年2019月XNUMX日– シノプシス株式会社 (ナスダック: SNPS)本日リリース BSIMM10は、Building Security In Maturity Model(BSIMM)の最新バージョンであり、組織がソフトウェアセキュリティイニシアチブ(SSI)の計画、実行、成熟、および測定を支援するように設計されています。 Synopsysは過去450年間に185社でBSIMMを約10回使用しており、この122回目の反復は10社で観察されたソフトウェアセキュリティ活動を反映しています。 BSIMMXNUMXは、ソフトウェアセキュリティイニシアチブに対するDevOpsの影響、エンジニアリング主導のセキュリティ活動の新しい波の出現、および企業がソフトウェアセキュリティの成熟度のXNUMXつのフェーズをどのように進めるかについても強調しています。 レポートをダウンロードするには、 www.bsimm.com/download.html.


「BSIMMは、2008年以降、世界の最先端のセキュリティチームの一部を含む、あらゆる形態や規模の組織がソフトウェアセキュリティ戦略を実行している方法を理解するための効果的なツールとして機能してきました」とエンタープライズ情報責任者のジムラウスは述べています。 MassMutualのリスク管理。 「現在のBSIMMデータは、リリースサイクルの短縮、自動化の使用の増加、ソフトウェア定義のインフラストラクチャなど、最新の開発および展開プラクティスの新しいダイナミクスに対処するために、多くの組織がアプローチを採用している数を反映しています。」

BSIMM10は、7,900を超えるアプリケーションに取り組んでいる約470,000人の開発者のセキュリティへの取り組みを導き、最大化する173,000人のソフトウェアセキュリティプロフェッショナルの仕事を説明しています。 BSIMM10は、金融サービス、ハイテク、独立系ソフトウェアベンダー(ISV)、クラウド、ヘルスケア、モノのインターネット(IoT)、保険、小売などの業界の企業を代表しています。

BSIMM10調査の主な結果:

  • ソフトウェアのセキュリティに対するDevOpsの影響: BSIMMデータは、DevOpsの動きと継続的インテグレーションおよび継続的デリバリー(CI / CD)ツールの採用が、企業がソフトウェアセキュリティに取り組む方法に影響を与えていることを示しています。 これは、BSIMMが10つの新しいアクティビティを追加したことで見られます。これは、企業がセキュリティアクティビティを自動化して、ビジネスが機能を市場に提供する速度に合わせるために積極的に取り組んでいる方法を反映しています。 BSIMMXNUMXには、最新のDevOps組織の一部として実装されている方法を反映するために、既存のアクティビティの更新された説明と例も含まれています。
  • エンジニアリング主導のセキュリティ文化の新しい波: BSIMM10は、SSIカルチャーの変化を正式に反映した最初の研究であり、集中型ソフトウェアセキュリティグループからトップダウンではなく、ボトムアップで開発および運用チームから発生するエンジニアリング主導のソフトウェアセキュリティ活動の新しい波で観察されました。 一部の組織では、エンジニアリング主導のセキュリティ文化が、意味のあるソフトウェアセキュリティの取り組みを確立して成長させるための闘いを克服しています。 このエンジニアリング主導のセキュリティ文化の新しい波は、アジャイルやDevOpsなどの最新のソフトウェア配信プラクティスの要求と、既存のSSIとの望ましくない摩擦の両方に対応して浮上しています。
  • 企業はBSIMMを使用して、ソフトウェアのセキュリティの旅をナビゲートします。 BSIMM10は、SSIの成熟度のXNUMXつのフェーズ(新興、成熟、最適化)を定義し、さまざまな企業が通常どのように進展するかを説明する初版です。 BSIMMデータは、組織が時間とともに明らかに改善し、多くの組織が常により多くの活動を追求するのではなく、実施している活動の深さ、幅、および規模に焦点を当てるレベルの成熟度を達成することを示しています。

「効果的なソフトウェアセキュリティイニシアチブを先導することは困難であり、DevOpsとCI / CDによってもたらされた劇的な技術的および組織的変化は、そのタスクを容易にしていません」とSynopsysの主任科学者であるSammy Miguesは述べました。 「世界中の何百ものソフトウェアセキュリティグループの経験を反映するために絶えず進化するツールとして、BSIMMとそのコミュニティは、旅を始めたばかりか、プログラムの最適化を求めているか、新しい課題に取り組んでいるかにかかわらず、非常に貴重なリソースです。 。」

BSIMMには、実際のSSIを確立した企業から収集されたデータが含まれており、119のアクティビティの発生を定量化して、多くのイニシアチブが共有する共通の基盤と、各イニシアチブを独自にするバリエーションを示しています。 BSIMMデータは、成熟度の高いイニシアチブが十分にバランスが取れており、モデルで記述されている12のプラクティスすべてで多数のアクティビティを実行していることを示しています。 組織はBSIMMを使用してイニシアチブを比較し、全体的な戦略をサポートするために役立つ可能性がある追加のアクティビティを決定できます。

謝辞
SynopsysのプリンシパルサイエンティストであるSammyMigues、SynopsysのマネージングプリンシパルであるMichael Ware、およびZeroNorthの最高技術責任者であるJohn Stevenは、過去10年間のソフトウェアセキュリティ研究で収集されたデータを分析した後、BSIMM11を作成しました。 BSIMM調査に参加している企業には、Adobe、Aetna、Alibaba、Ally Bank、Amadeus、Amgen、Autodesk、Axway、Bank of America、Betfair、BMO Financial Group、Black Duck Software、Black Knight Financial Services、Box、Canadianなどがあります。インペリアルバンクオブコマース、キャピタルワン、シティナショナルバンク、シスコ、シティグループ、シチズンズバンク、コメリカバンク、ダフア、デポジトリートラストアンドクリアリングコーポレーション、エリリリー、エルシアン、エクスペリアン、F-セキュア、ファニーメイ、フィデリティ、フレディマック、ジェネラルElectric、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、Horizo​​n Healthcare Services、HSBC、iPipeline、Johnson&Johnson、JPMorgan Chase&Co.、Lenovo、LGE、McKesson、Medtronic、Morningstar、Navient、NCR、NetApp、News Corp 、NVIDIA、PayPal、プリンシパルファイナンシャルグループ、ロイヤルバンクオブカナダ、サイエンティフィックゲームズ、シノプシスソフトウェアインテグリティグループ、TDアメリトレード、ホームデポ、ヴァンガードグループ、トレインライン、トレーン、USバンク、ベリタス、ベライゾン、ウェルズファーゴ、ゼンデスク。

BSIMMについて
2008年に開始されたBuilding Security In Maturity Model(BSIMM)は、ソフトウェアセキュリティイニシアチブを測定および評価するためのツールです。 BSIMMは、ソフトウェアのセキュリティイニシアチブを注意深く調査および分析して開発されたデータ駆動型モデルおよび測定ツールであり、120を超える組織からの実世界のデータを含みます。 BSIMMは、ソフトウェアセキュリティの実践に基づくフレームワークを含むオープンスタンダードであり、組織はこれを使用して、ソフトウェアセキュリティにおける独自の取り組みを評価できます。 詳細については、 www.bsimm.com.

Synopsys Software Integrity Groupについて 
Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は https://www.synopsys.com/software.

シノプシスについて
Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 シノプシスは、世界で15番目に大きなソフトウェア会社として、電子設計自動化(EDA)および半導体IPの世界的リーダーであり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも拡大しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、シノプシスは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細については、 https://www.synopsys.com/.

###