Poted on

APAC에서 처음 릴리스 된 최신 버전의 성숙도 보안 구축 모델은 더 많은 조직이 평가를 통해 소프트웨어 보안 이니셔티브를 시작하고 시간이 지남에 따라 개선됨을 보여줍니다.

싱가포르, @mcgallen #microwireinfo, 9 년 2017 월 XNUMX 일 – Synopsys, Inc. (Nasdaq : SNPS) 출시 BSIMM8는 실제 데이터를 기반으로하며 조직이 소프트웨어 보안 이니셔티브 (SSI)를 계획, 실행 및 측정하는 데 도움이되는 선도적 인 소프트웨어 보안 성숙도 모델의 최신 버전입니다. APAC에서 처음 출시 된 BSIMM (Building Security in Maturity Model)의 여덟 번째 반복은 지금까지 가장 큰 커뮤니티에서 수집 한 데이터를 기반으로합니다. BSIMM8은 더 많은 조직이 SSI 수명주기 초기에 노력을 벤치마킹하고 결과를 전략적으로 사용하여 시간이 지남에 따라 위험 태세를 개선함에 따라 소프트웨어 보안이 중요한 비즈니스 우선 순위가되고 있음을 보여줍니다. 보고서를 다운로드하려면 https://www.bsimm.com/download.html.

"취약한 소프트웨어를 표적으로하는 광범위하게 분산되고 점점 더 파괴적인 공격이 증가함에 따라 우리는 사후 대응 적 '침투 및 패치'접근 방식에서 조직이 처음부터 체계적으로 보안 소프트웨어를 구축 할 수 있도록 지원하는보다 적극적인 전략으로 전환되고 있습니다."라고 Dr. Synopsys의 보안 기술 부사장 Gary McGraw. "조직들은 소프트웨어 보안 이니셔티브를 수립하고 BSIMM과 같은 도구를 통해 초기에 강점과 약점을 평가하고 가장 적절한 관행과 활동에 노력을 집중함으로써 위험을보다 효과적으로 완화 할 수 있다는 것을 이해하기 시작했습니다."

BSIMM8은 109 개 회사에서 수집 한 데이터를 포함하고 4,769 개의 ​​소프트웨어 보안 전문가의 작업을 설명하여 소프트웨어 보안 모범 사례 뒤에 숨겨진 과학을 보여줍니다. 그들의 작업은 약 300,000 개의 응용 프로그램에서 거의 95,000 명의 개발자의 보안 노력을 안내하고 최대화합니다. BSIMM8 회사는 금융 서비스, ISV (독립 소프트웨어 공급 업체), 클라우드, 의료, 사물 인터넷 (IoT) 및 보험을 포함한 산업 분야를 대표합니다.

BSIMM8 연구의 주요 결과 :

  • 조직은 BSIMM을 사용하여 SSI를 시작합니다.. BSIMM8은 SSI 수명주기의 초기 단계에 회사를 소개합니다. 이는 SSI의 평균 성숙도 점수 1 (BSIMM33.1의 33.9에서 7로 감소)와 평균 소프트웨어 보안 그룹 연령 (3.88 년, BSIMM3.94의 7에서 감소)이 약간 감소한 것으로 입증되었습니다. BSIMM 인구. SSI 벤치마킹은 소프트웨어 보안 여정에서 가장 중요한 첫 단계 중 하나입니다.
  • BSIMM 기업은 시간이 지남에 따라 성숙합니다.. 여러 BSIMM 평가에 참여한 기업은 점수가 평균 10.3 (33.4 %) 증가하는 명확한 개선 추세를 보여줍니다. 벤치마킹은 안전한 소프트웨어를 일관되게 구축하기위한 최적의 경로를 따라 조직을 안내하는 효과적인 연습입니다.
  • 성숙도는 산업에 따라 다릅니다.. 각 산업은 특정 활동을 다른 것보다 우선시하며, 모든 산업 및 개별 조직은 보안을 구축하는 방법이 다릅니다. 평균적으로 클라우드, 금융 서비스 및 ISV 회사는 의료, IoT 및 보험 회사보다 성숙합니다. 금융 서비스 및 클라우드 회사는 규정 준수 및 정책 관행에서 현저하게 높은 점수를받은 반면, IoT 회사는 가장 성숙한 소프트웨어 환경 관행을 가지고 있습니다.

Gartner에 따르면,“애플리케이션 보안은 새로운 기술과 진화하는 위협 환경의 혼란을 처리하기 위해 구조화 된 프로그래밍 방식의 접근 방식을 필요로합니다. 성공적인 애플리케이션 보안 프로그램은 사람, 프로세스 및 기술의 균형 잡힌 조합이어야합니다.”2

BSIMM은 실제 소프트웨어 보안 이니셔티브를 수립 한 기업을 관찰하여 113 개 활동의 발생을 정량화하여 많은 이니셔티브가 공유하는 공통 기반과 각 이니셔티브를 고유하게 만드는 변형을 보여줍니다. BSIMM 데이터에 따르면 성숙도가 높은 이니셔티브는 모델에 설명 된 12 가지 관행 모두에서 수많은 활동을 수행하는 균형 잡힌 것입니다. 조직은 BSIMM을 사용하여 이니셔티브를 비교하고 유용한 추가 활동을 결정할 수 있습니다.

감사의
McGraw 박사는 Synopsys의 수석 과학자 인 Sammy Migues와 NetSuite의 수석 설계자 인 Jacob West와 함께 지난 XNUMX 년간의 소프트웨어 보안 연구에서 수집 된 데이터를 분석했습니다. 평가에 참여하는 회사는 Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco입니다. , Citigroup, Citizen 's Bank, Comerica Bank, Cryptography Research (Rambus 사업부), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, The Advisory Board, The Home Depot, The Vanguard Group, Trainline, Trane, 미국 바 nk, Veritas, Verizon, Wells Fargo, Zendesk 및 Zephyr Health.

1. BSIMM 점수는 회사의 소프트웨어 보안 이니셔티브를 평가하는 동안 관찰 된 총 소프트웨어 보안 활동 수를 반영합니다. 각 활동은 113 점의 가치가 있으며 BSIMM 프레임 워크에는 XNUMX 개의 활동이 포함됩니다.

2. 출처 : Gartner, "애플리케이션 보안 프로그램 구축 및 성숙을위한 지침 프레임 워크", 23 년 2016 월 XNUMX 일, Michael Isbitski & Ramon.

BSIMM 정보
2008 년에 시작된 BSIMM (Building Security in Maturity Model)은 소프트웨어 보안 이니셔티브를 측정하고 평가하기위한 도구입니다. 소프트웨어 보안 이니셔티브에 대한 세심한 연구 및 분석을 통해 개발 된 데이터 기반 모델 및 측정 도구 인 BSIMM에는 100 개 이상의 조직에서 수집 한 실제 데이터가 포함됩니다. BSIMM은 조직이 소프트웨어 보안에 대한 자체 노력을 평가하는 데 사용할 수있는 소프트웨어 보안 관행을 기반으로하는 프레임 워크를 포함하는 개방형 표준입니다. 자세한 내용은 https://www.bsimm.com.

Synopsys 소프트웨어 무결성 플랫폼 정보
Synopsys는 소프트웨어 개발 라이프 사이클 및 공급망에 무결성 (보안 및 품질)을 구축하기위한 가장 포괄적 인 솔루션을 제공합니다. Software Integrity Platform은 선도적 인 테스트 기술, 자동화 된 분석 및 전문가를 통합하여 강력한 제품 및 서비스 포트폴리오를 만듭니다. 이 포트폴리오를 통해 기업은 개발 프로세스 초기에 결함과 취약성을 감지하고 수정하여 위험을 최소화하고 생산성을 극대화하기위한 개인화 된 프로그램을 개발할 수 있습니다. 애플리케이션 보안 테스트 분야에서 인정받는 리더 인 Synopsys는 IoT, DevOps, CI / CD 및 클라우드와 같은 새로운 기술과 트렌드에 모범 사례를 적용하고 적용 할 수있는 독보적 인 위치에 있습니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보
Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #