Poted on

편집자 요약 : 조직에서 DevOps를 실행하는 경우, 특히 모든 노드, 소프트웨어 또는 시스템을 침입하는 오늘날의 위협 행위자에 대해 소프트웨어 품질과 보안을 동시에 보장하는 것이 필수적입니다. BSIMM (Building Security In Maturity Model) 또는 BSIMM11의 11 번째 에디션은 금융 서비스, 핀 테크, ISV, 클라우드, 의료, IoT 및 소매업과 같은 업계의 130 개 기업의 지형을 반영합니다. 공급 업체의 보도 자료는 다음과 같습니다.

Synopsys, DevOps 및 디지털 혁신에 대한 대응으로 소프트웨어 보안 이니셔티브의 근본적인 변화를 강조하는 BSIMM11 연구 발표

em> Building Security In Maturity Model의 11 번째 반복은 조직이 최신 소프트웨어 개발 패러다임을 지원하기 위해 소프트웨어 보안 노력을 어떻게 조정하고 있는지 반영합니다.

싱가포르, @mcgallen #microwireinfo, 16 년 2020 월 XNUMX 일-Synopsys, Inc. (Nasdaq : SNPS) 오늘 게시 됨 BSIMM11, 최신 버전 성숙도 모델 (BSIMM)에서 보안 구축, 조직이 소프트웨어 보안 이니셔티브 (SSI)를 계획, 실행, 측정 및 개선하는 데 도움을주기 위해 만들어졌습니다. BSIMM11은 금융 서비스, FinTech, 독립 소프트웨어 공급 업체, 클라우드, 의료 서비스, 사물 인터넷, 보험 및 소매업을 포함한 다양한 산업 분야의 130 개 기업에서 관찰 된 소프트웨어 보안 관행을 반영합니다. BSIMM11은 8,457 명이 넘는 개발자의 노력을 안내하는 490,000 소프트웨어 보안 전문가의 작업을 설명합니다.

BSIMM은 조직에서 자체 이니셔티브를 광범위한 BSIMM 커뮤니티의 데이터와 비교하고 대조하기위한 측정 도구로 사용됩니다. BSIMM11은 많은 조직이 디지털 혁신 및 DevOps와 같은 최신 소프트웨어 개발 패러다임을 지원하기 위해 소프트웨어 보안 노력을 조정하고 있음을 보여줍니다.

"BSIMM은 특히 새롭거나 새로운 과제를 해결하기 위해 동료들의 집단적 경험을 통해 배우고 자하는 보안 리더들에게 훌륭한 리소스입니다." 마이크 신생아, BSIMM 커뮤니티의 회원 조직인 Navy Federal Credit Union의 CISO. “오늘날 대부분의 조직은 빠르게 발전하고 가속화하는 소프트웨어 개발 관행을 배경으로 성장하는 애플리케이션 포트폴리오를 보호해야하는 과제에 직면 해 있습니다. BSIMM11은 혁신을 저해하거나 개발 속도를 저해하지 않으면 서 자신과 고객을 보호하기 위해 소프트웨어 보안 전략을 채택하고있는 이러한 조직의 수를 반영합니다.”

BSIMM11의 새로운 트렌드

  • 엔지니어링 주도의 소프트웨어 보안 노력은 탄력성을 추구하는 DevOps 가치 흐름에 성공적으로 기여하고 있습니다. BSIMM11은 CI / CD 계측 및 운영 오케스트레이션이 많은 조직의 소프트웨어 보안 이니셔티브의 표준 구성 요소가되었으며 구성, 설계 및 실행 방식에 영향을 미치고 있음을 보여줍니다. 예를 들어, 소프트웨어 보안 팀은 점점 더 기술 그룹 또는 CTO (IT 보안 팀 또는 CISO가 아닌)에보고하고 내부적으로 인재를 모집하고 조직하는 방법을 변경하고 있습니다.
  • 소프트웨어 정의 보안 거버넌스는 더 이상 단순한 목표가 아닙니다. 조직은 일부 고 마찰 대역 외 보안 활동을 CI / CD 파이프 라인 실행의 이벤트에 의해 트리거되는 자동화 된 활동으로 대체하고 있습니다. 인적 프로세스와 의사 결정을 알고리즘으로 전환하는 것은 조직이 점점 더 자원 제약 및 케이던스 관리 문제를 해결하는 방법 중 하나입니다. 
  • "왼쪽으로 이동"은 "어디서나 이동"이됩니다. "왼쪽으로 이동"개념의 구현은 개발주기 초기에 일부 보안 테스트를 수행하는 문자 그대로 해석에서 검토 할 아티팩트를 사용할 수있게되는 즉시 보안 활동을 수행하는 것으로 발전했습니다. 이는 역사적으로 활동이 수행 된 곳의 왼쪽을 의미 할 수 있지만 종종 프로덕션을 포함하여 오른쪽에 있습니다.
  • BSIMM 데이터 풀에 FinTech 수직적 도입. 금융 분야에서 증가하는 기업의 데이터 풀을주의 깊게 검토 한 결과, 특히 금융 서비스 소프트웨어를위한 효과적인 ISV 기업을 설명하기 위해 별도의 분야를 추가해야한다는 것이 분명해졌습니다.

Synopsys의 BSIMM 공동 저자이자 기술 담당 수석 이사 인 Michael Ware는“최신 소프트웨어를 구축하고 배포하는 방식은 지난 몇 년 동안 극적으로 변했습니다. 따라서 소프트웨어를 보호하는 데 필요한 노력도 자연스럽게 변하고 있습니다. “기업은 소프트웨어에 크게 의존하고 있으며 현대적인 방법론은 개발 속도를 가속화했습니다. 결과적으로 모든 곳에 소프트웨어가 더 많이 존재하며 기존의 모든 소프트웨어에 대해 여전히 걱정할 필요가 있습니다. BSIMM은 세계에서 가장 진보 된 팀을 포함하여 전 세계 수백 개의 소프트웨어 보안 그룹이 사용하는 실제 사례를 나타 내기 위해 지속적으로 진화하는 모델로서 이러한 변화가 어떻게 진행되고 있는지에 대한 거의 실시간보기를 제공합니다. 증가하는 소프트웨어 포트폴리오를 보호하기 위해 구현되었습니다. "

BSIMM의 새로운 활동은 DevSecOps 로의 전환을 나타냅니다.

BSIMM10에 추가 된 세 가지 활동은 작년에 놀라운 성장을 보였습니다 (SM3.4 소프트웨어 정의 라이프 사이클 거버넌스 통합, AM3.3 자동화 자산 생성 모니터링, CMVM3.5 운영 인프라 보안 검증 자동화). 이는 일부 조직이 소프트웨어 제공 속도에 맞춰 소프트웨어 보안 노력을 가속화하기 위해 적극적으로 노력하고 있음을 반영합니다. 또한 BSIMM11에 추가 된 두 가지 활동은 이러한 추세의 연속을 나타냅니다 (ST3.6 이벤트 기반 보안 테스트 구현, CMVM3.6 배포 가능한 아티팩트에 대한 위험 데이터 게시).

산업 전반에 걸친 BSIMM

BSIMM은 다양한 산업 전반에 걸쳐 소프트웨어 보안 이니셔티브의 상대적인 강점과 약점을 이해하고 비교할 수있는 고유 한 데이터 기반 통찰력을 제공합니다. 클라우드, 사물 인터넷 및 첨단 기술 회사는 BSIMM11 데이터 풀에서 가장 성숙한 세 가지 업종입니다. BSIMM11은 규제가 엄격한 세 가지 산업 인 금융 서비스, 의료 및 보험 간의 차이점도 강조합니다. 다른 산업보다 먼저 소프트웨어 보안 그룹을 배치 한 금융 서비스 산업은 의료 및 보험 분야에 비해 더 성숙한 관행을 가지고있는 것으로 나타났습니다. 처음으로 BSIMM은 FinTech 카테고리에 대한 데이터를 제공하고 교육, 보안 테스트 및 코드 검토 관행에서 발생하는 기본 델타 (FinTech에 찬성)를 통해 금융 서비스와 상당히 밀접하게 추적한다는 사실을 발견했습니다.

읽기 BSIMM11 다이제스트 또는 전체를 다운로드 BSIMM11 연구.

BSIMM11의 주요 결과에 대한 실시간 토론을 보려면 15 월 XNUMX 일 웨비나에 등록하십시오. BSIMM11 : DevSecOps의 진화

감사의

Synopsys의 수석 과학자 인 Sammy Migues, Synopsys의 기술 수석 이사 인 Michael Ware, Aedify Security의 창립 책임자 인 John Steven은 거의 11 년 동안 소프트웨어 보안 연구를 통해 수집 된 데이터를 분석 한 후 BSIMM12을 작성했습니다. BSIMM 연구에 참여하는 회사로는 Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank가 있습니다. , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo 및 Zendesk.

BSIMM 정보

2008 년에 시작된 BSIMM (Building Security In Maturity Model)은 소프트웨어 보안 이니셔티브를 생성, 측정 및 평가하기위한 도구입니다. 200 개 이상의 소프트웨어 보안 이니셔티브에 대한 세심한 연구 및 분석을 통해 개발 된 데이터 기반 모델 및 측정 도구 인 BSIMM11에는 130 개 조직의 최신 실제 데이터가 포함되어 있습니다. BSIMM은 조직이 소프트웨어 보안에 대한 자체 노력을 평가하고 성숙시키는 데 사용할 수있는 소프트웨어 보안 관행에 기반한 프레임 워크를 포함하는 개방형 표준입니다. 자세한 내용은 www.bsimm.com.

Synopsys 소프트웨어 무결성 그룹 정보

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #