Poted on

싱가포르, @mcgallen #microwireinfo, 19 년 2019 월 XNUMX 일 – Synopsys, Inc. (나스닥 : SNPS) 오늘 출시 BSIMM10, BSIMM (Building Security In Maturity Model)의 최신 버전으로, 조직이 소프트웨어 보안 이니셔티브 (SSI)를 계획, 실행, 성숙 및 측정 할 수 있도록 설계되었습니다. Synopsys는 지난 450 년 동안 185 개 회사에서 BSIMM을 거의 10 번 사용했으며, 이번 122 번째 반복은 10 개 회사에서 관찰 된 소프트웨어 보안 활동을 반영합니다. 또한 BSIMMXNUMX은 소프트웨어 보안 이니셔티브에 대한 DevOps의 영향, 새로운 엔지니어링 기반 보안 노력의 출현, 기업이 소프트웨어 보안 성숙도의 XNUMX 단계를 통해 어떻게 발전하는지 강조합니다. 보고서를 다운로드하려면 www.bsimm.com/download.html.


"2008 년부터 BSIMM은 세계에서 가장 진보 된 보안 팀을 포함하여 모든 형태와 규모의 조직이 소프트웨어 보안 전략을 실행하는 방법을 이해하는 효과적인 도구 역할을 해왔습니다."라고 엔터프라이즈 정보 책임자 인 Jim Routh가 말했습니다. MassMutual의 위험 관리. "현재 BSIMM 데이터는 출시주기 단축, 자동화 사용 증가, 소프트웨어 정의 인프라와 같은 최신 개발 및 배포 관행의 새로운 역학을 해결하기 위해 얼마나 많은 조직이 접근 방식을 채택하고 있는지 반영합니다."

BSIMM10은 7,900 개 이상의 응용 프로그램에서 작업하는 거의 470,000 만 명의 개발자의 보안 노력을 안내하고 극대화하는 173,000 명의 소프트웨어 보안 전문가의 작업을 설명합니다. BSIMM10은 금융 서비스, 하이테크, 독립 소프트웨어 공급 업체 (ISV), 클라우드, 의료, 사물 인터넷 (IoT), 보험 및 소매업을 포함한 산업 분야의 기업을 대표합니다.

BSIMM10 연구의 주요 결과 :

  • 소프트웨어 보안에 대한 DevOps의 영향 : BSIMM 데이터는 DevOps 이동과 CI / CD (지속적 통합 및 지속적 전달) 도구의 채택이 기업이 소프트웨어 보안에 접근하는 방식에 영향을 미치고 있음을 보여줍니다. 이는 BSIMM에 기업이 보안 활동을 자동화하여 비즈니스가 시장에 기능을 제공하는 속도에 맞춰 적극적으로 노력하는 방식을 반영하는 세 가지 새로운 활동이 추가 된 것에서 볼 수 있습니다. BSIMM10에는 또한 최신 DevOps 조직의 일부로 구현되는 방식을 반영하기 위해 기존 활동에 대한 업데이트 된 설명과 예가 포함되어 있습니다.
  • 엔지니어링 중심 보안 문화의 새로운 물결 : BSIMM10은 SSI 문화의 변화를 공식적으로 반영한 최초의 연구로, 중앙 집중식 소프트웨어 보안 그룹에서 하향식이 아닌 개발 및 운영 팀에서 상향식으로 시작된 엔지니어링 주도 소프트웨어 보안 노력의 새로운 물결에서 관찰되었습니다. 일부 조직에서는 엔지니어링 주도의 보안 문화가 의미있는 소프트웨어 보안 노력을 구축하고 성장시키기위한 노력을 극복했습니다. 이러한 엔지니어링 기반 보안 문화의 새로운 물결은 Agile 및 DevOps와 같은 최신 소프트웨어 제공 관행의 요구와 기존 SSI와의 바람직하지 않은 마찰에 대응하여 등장하고 있습니다.
  • 기업은 BSIMM을 사용하여 소프트웨어 보안 여정을 탐색합니다. BSIMM10은 SSI 성숙도의 세 단계 (신흥, 성숙, 최적화)를 정의하고 각기 다른 회사가 일반적으로 어떻게 진행하는지 설명하는 첫 번째 버전입니다. BSIMM 데이터는 조직이 시간이 지남에 따라 뚜렷하게 개선되고 있으며 많은 사람들이 항상 더 많은 활동을 위해 노력하기보다는 수행하는 활동의 깊이, 폭 및 규모에 초점을 맞춘 성숙도 수준을 달성한다는 것을 보여줍니다.

Synopsys의 수석 과학자 인 Sammy Migues는“효과적인 소프트웨어 보안 이니셔티브를 주도하는 것은 어려운 일이며 DevOps 및 CI / CD가 가져온 극적인 기술 및 조직적 변화로 인해이 작업이 더 쉬워지지 않습니다. “전 세계 수백 개의 소프트웨어 보안 그룹의 경험을 반영하기 위해 지속적으로 진화하는 도구 인 BSIMM과 커뮤니티는 여정을 막 시작하든, 프로그램을 최적화하려고하든, 새로운 과제를 해결하든간에 귀중한 리소스입니다. .”

BSIMM에는 실제 SSI를 설정 한 기업에서 수집 한 데이터가 포함되어 있으며, 119 개 활동의 발생을 정량화하여 많은 이니셔티브가 공유하는 공통 기반과 각 이니셔티브를 고유하게 만드는 변형을 보여줍니다. BSIMM 데이터는 성숙도가 높은 이니셔티브가 균형 잡힌 것으로 모델에 설명 된 12 개 관행 모두에서 수많은 활동을 수행하고 있음을 보여줍니다. 조직은 BSIMM을 사용하여 이니셔티브를 비교하고 전체 전략을 지원하는 데 유용한 추가 활동을 결정할 수 있습니다.

감사의
Synopsys의 수석 과학자 인 Sammy Migues, Synopsys의 관리 책임자 인 Michael Ware, ZeroNorth의 최고 기술 책임자 인 John Steven은 지난 10 년간의 소프트웨어 보안 연구를 통해 수집 된 데이터를 분석 한 후 BSIMM11을 작성했습니다. BSIMM 연구에 참여하는 회사로는 Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian이 있습니다. Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, 일반 Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Wells Fargo 및 Zendesk.

BSIMM 정보
2008 년에 시작된 BSIMM (Building Security In Maturity Model)은 소프트웨어 보안 이니셔티브를 측정하고 평가하기위한 도구입니다. 소프트웨어 보안 이니셔티브에 대한 세심한 연구와 분석을 통해 개발 된 데이터 기반 모델 및 측정 도구 인 BSIMM에는 120 개 이상의 조직에서 얻은 실제 데이터가 포함됩니다. BSIMM은 조직이 소프트웨어 보안에 대한 자체 노력을 평가하는 데 사용할 수있는 소프트웨어 보안 관행에 기반한 프레임 워크를 포함하는 개방형 표준입니다. 자세한 내용은 www.bsimm.com.

Synopsys 소프트웨어 무결성 그룹 정보 
Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작의 취약성과 결함을 신속하게 찾아 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 https://www.synopsys.com/software.

Synopsys 정보
Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (시스템 온 칩) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든, Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 https://www.synopsys.com/.

# # #