Poted on

편집자 브리핑: 미국 건국의 아버지이자 천재인 벤자민 프랭클린(Benjamin Franklin)은 이렇게 말했습니다. 마찬가지로, 점점 더 복잡해지고 있는 DevOps 및 사이버 보안의 세계에서 새롭고 지속적인 위협이 막대한 만큼 처음부터 소프트웨어를 올바르고 안전하게 설계하는 "좌향 이동" 패러다임이 완벽하게 이해됩니다. 그렇다면 현재 128판을 실행 중인 BSIMM12(Building Security in Maturity Model) 형식의 12개 유명 조직의 모범 사례에서 무엇을 배우고 채택할 수 있습니까? 벤더의 릴리스는 다음과 같습니다.

Synopsys, 오픈 소스, 클라우드 및 컨테이너 보안 노력의 주목할만한 성장을 강조하는 BSIMM12 연구 발표

Building Security In Maturity Model의 12번째 반복은 세간의 이목을 끄는 랜섬웨어와 소프트웨어 공급망 중단을 반영하여 소프트웨어 보안에 대한 관심을 높였습니다.

싱가포르, @mcgallen #microwireinfo, 29 년 2021 월 XNUMX 일 - Synopsys, Inc. (Nasdaq : SNPS) 오늘 게시 됨 BSIMM12, 최신 버전 성숙도 모델 (BSIMM)에서 보안 구축 조직이 소프트웨어 보안 이니셔티브를 계획, 실행, 측정 및 개선하는 데 도움이 되도록 만든 보고서입니다. BSIMM12는 금융 서비스, 핀테크, 독립 소프트웨어 공급업체, 클라우드, 의료, 사물 인터넷을 포함한 다양한 산업 분야의 128개 기업에서 관찰된 소프트웨어 보안 관행을 반영합니다. BSIMM12는 거의 3,000명의 소프트웨어 보안 그룹 구성원과 6,000명 이상의 위성 구성원의 작업을 설명합니다. BSIMM은 전 세계 조직에서 자체 이니셔티브를 광범위한 BSIMM 커뮤니티의 데이터와 비교하고 대조하기 위한 측정 막대로 사용됩니다.

BSIMM12 데이터에 따르면 지난 61년 동안 소프트웨어 보안 그룹의 오픈 소스 식별 및 관리가 XNUMX% 증가했는데, 이는 거의 확실하게 최신 소프트웨어에서 오픈 소스 구성 요소의 보급과 인기 있는 오픈 소스 프로젝트를 벡터로 사용하는 공격의 증가 때문입니다.

클라우드 플랫폼 및 컨테이너 기술과 관련된 활동의 성장은 이러한 기술이 조직에서 소프트웨어를 사용하고 보호하는 방식에 극적인 영향을 미쳤음을 보여줍니다. 예를 들어, "컨테이너 및 가상화된 환경을 위한 오케스트레이션 사용"에 대한 관찰은 지난 560년 동안 XNUMX% 증가했습니다.

“지난 18개월 동안 조직은 디지털 혁신 이니셔티브의 엄청난 가속화를 경험했습니다. 그 결과 소프트웨어 환경과 클라우드 기술 스택을 배포하고 관리하기 위한 소프트웨어 정의 접근 방식의 채택이 증가했습니다.”라고 BSIMM 커뮤니티의 회원 조직인 Navy Federal Credit Union의 정보 보안 책임자인 Mike Ware가 말했습니다. “이러한 변화의 복잡성과 속도를 고려할 때 보안 팀이 현재 위치를 이해하고 다음으로 피벗해야 할 위치에 대한 참조를 가질 수 있는 도구를 갖는 것이 그 어느 때보다 중요합니다. BSIMM은 이러한 목적을 수행하기 위한 관리 도구입니다. BSIMM은 조직이 코드로서의 정책과 같은 소프트웨어 정의 보안 기능을 구현하기 위한 전략을 현대 소프트웨어 개발 원칙 및 관행에 맞게 전환하는 방법에 대한 고유한 렌즈를 제공합니다.”

“BSIMM 연구를 통해 조직은 현재 보안 관행을 벤치마킹하여 보안 환경의 새로운 추세에 대응하여 우선 순위를 설정하고 관점을 유지할 수 있습니다. BSIMM 커뮤니티. “BSIMM의 기술 모델은 조직이 소프트웨어 보안 이니셔티브 구축을 시작하고 효과적으로 성숙시키는 방법을 결정하는 데 도움이 됩니다. 특히 공동 책임 모델에 관한 BSIMM12의 관찰은 보안 리더가 보안 전략의 잠재적 격차를 충족하고 완화하기 위해 진화하는 방법을 고려하도록 권장해야 합니다.”

“BSIMM 연구는 업계 모범 사례 접근 측면에서 매우 일치합니다. 여러 개발 팀에서 관찰되는 다양한 개발 보안 활동의 성숙도를 이해하는 데 사용할 수 있습니다.”라고 BSIMM 커뮤니티의 회원 조직인 Landis+Gyr의 CISO인 Todd Wiedman이 말했습니다. “빠르게 가속화되는 소프트웨어 개발 관행과 함께 BSIMM12 데이터는 보안 개발 프로그램에서 일어나는 실제 변화를 보여줍니다. 이 정보를 통해 조직은 혁신을 저해하지 않으면서 조직과 고객을 보호하기 위해 자체 전략을 조정할 수 있습니다.”

BSIMM 커뮤니티 회원 조직인 Finastra의 제품 및 데이터 보안 프로그램 이사인 Vinod Raghavan은 "제품 및 데이터 보안 프로그램의 일환으로 BSIMM 프레임워크를 사용하여 보안 전략을 발전시켜 왔습니다. "금융 서비스 및 기타 산업의 다른 조직과 벤치마킹하여 보안 성숙도를 지원하는 데 도움이 되었습니다."

BSIMM12의 새로운 트렌드

  • 세간의 이목을 끄는 랜섬웨어 및 소프트웨어 공급망 중단으로 인해 소프트웨어 보안에 대한 관심이 높아지고 있습니다. 지난 61년 동안 BSIMM 데이터에 따르면 참가자 조직에서 "오픈 소스 식별" 활동이 57% 증가하고 "SLA 상용구 만들기" 활동이 XNUMX% 증가했습니다.
  • 기업은 위험을 숫자로 바꾸는 방법을 배우고 있습니다. 조직은 소프트웨어 보안 이니셔티브 데이터를 수집하고 게시하기 위해 더 많은 노력을 기울이고 있으며, 이는 지난 30개월 동안 "내부적으로 소프트웨어 보안에 대한 데이터 게시" 활동이 24% 증가한 것으로 나타났습니다.
  • 클라우드 보안을 위한 향상된 기능. 엔지니어링 중심의 노력과 함께 경영진의 관심이 높아짐에 따라 조직은 클라우드 보안을 관리하고 공동 책임 모델을 평가하기 위한 자체 기능을 개발하게 되었습니다. 일반적으로 클라우드 보안과 관련된 활동에서 지난 36년 동안 평균 XNUMX건의 새로운 관찰이 있었습니다.
  • 보안 팀은 DevOps 사례에 리소스, 직원 및 지식을 빌려주고 있습니다.BSIMM 데이터는 소프트웨어 보안 그룹이 소프트웨어 보안 행동을 의무화하는 것에서 파트너십 역할(소프트웨어 제공을 위한 중요한 경로에 보안 노력을 포함하기 위한 목적으로 리소스, 직원 및 지식을 DevOps 관행에 제공하는)으로의 전환을 보여줍니다.
  • 소프트웨어 BOM 활동이 367% 증가했습니다. BSIMM 데이터는 인벤토리 소프트웨어에 초점을 맞춘 기능의 증가를 보여줍니다. 소프트웨어 BOM(Bill of Materials) 생성 소프트웨어가 어떻게 구축, 구성 및 배포되었는지 이해합니다. 보안 원격 측정을 기반으로 조직의 재배치 능력 향상. 많은 조직이 포괄적인 최신 소프트웨어 BOM의 필요성을 마음에 새기고 있음을 보여줌으로써 이러한 기능과 관련된 BSIMM 활동("자재 명세서 운영으로 애플리케이션 인벤토리 향상")이 과거 3건에서 14건으로 증가했습니다. 367년 - XNUMX% 증가.
  • "왼쪽으로 이동"은 "모든 곳에서 이동"으로 진행됩니다. "왼쪽으로 이동"의 개념은 개발 프로세스의 초기 단계에서 보안 테스트를 이동하는 데 중점을 둡니다. "어디서나 시프트"는 가장 빠른 기회에 수행되는 더 작고 더 빠른 파이프라인 기반 보안 테스트를 포함하여 소프트웨어 수명 주기 전반에 걸쳐 보안 테스트를 계속하는 것으로 아이디어를 확장합니다.

기존의 운영 인벤토리를 유지 관리하는 것에서 벗어나 자동화된 자산 검색 및 BOM(Bill of Material) 생성으로의 이동에는 컨테이너를 사용하여 보안 제어, 오케스트레이션 및 코드로서의 인프라 스캔과 같은 "모든 곳에서 이동" 활동을 추가하는 것이 포함됩니다. "BOM(Bill of Materials) 운영으로 애플리케이션 인벤토리 향상", "컨테이너 및 가상화된 환경을 위한 오케스트레이션 사용", "자동 자산 생성 모니터링"과 같은 활동에 대한 BSIMM 관찰 비율의 증가는 모두 이러한 추세를 보여줍니다.

Synopsys Software Integrity Group의 제너럴 매니저인 Jason Schmitt는 "2008년부터 BSIMM 컨설팅, 연구 및 데이터 전문가들은 조직이 소프트웨어 보안 문제를 해결하기 위해 취하는 다양한 경로에 대한 데이터를 수집해 왔습니다. “평균 연령이 4.4세인 BSIMM 참여 조직의 소프트웨어 보안 이니셔티브는 조직이 현대 개발 및 배포 관행의 새로운 역동성을 해결하기 위해 접근 방식을 조정하는 방법을 반영합니다. 이 정보를 바탕으로 조직은 혁신을 저해하지 않으면서 조직과 고객을 보호하기 위해 자체 전략을 적용할 수 있습니다.”

자세히 알아보려면 다운로드 BSIMM12 통찰력 및 동향. BSIMM12의 주요 결과에 대한 대화식 토론을 위해, 21월 XNUMX일 웨비나 등록.

감사의

Synopsys의 수석 과학자인 Sammy Migues, Synopsys의 관리 책임자인 Eli Erlikhman, Synopsys의 수석 보안 컨설턴트인 Jacob Ewers, Gemini의 애플리케이션 보안 이사인 Kevin Nassery는 거의 12년에 걸쳐 소프트웨어 보안 연구를 통해 수집된 데이터를 분석한 후 BSIMM13를 작성했습니다. BSIMM 연구에 참여하는 회사로는 AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+ Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC 플랫폼, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, 주요 금융 그룹, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

BSIMM 정보

2008 년에 시작된 BSIMM (Building Security In Maturity Model)은 소프트웨어 보안 이니셔티브를 생성, 측정 및 평가하기위한 도구입니다. 200 개 이상의 소프트웨어 보안 이니셔티브에 대한 세심한 연구 및 분석을 통해 개발 된 데이터 기반 모델 및 측정 도구 인 BSIMM11에는 128 개 조직의 최신 실제 데이터가 포함되어 있습니다. BSIMM은 조직이 소프트웨어 보안에 대한 자체 노력을 평가하고 성숙시키는 데 사용할 수있는 소프트웨어 보안 관행에 기반한 프레임 워크를 포함하는 개방형 표준입니다. 자세한 내용은 www.bsimm.com.

Synopsys 소프트웨어 무결성 그룹 정보

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을위한 Silicon to Software ™ 파트너입니다. S & P 500 기업인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공합니다. 고급 반도체를 만드는 SoC (시스템 온 칩) 설계 자든,보다 안전한 고품질 코드를 작성하는 소프트웨어 개발자 든 Synopsys는 혁신적인 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #