Dipos pada

Ringkasan editor: Salah seorang bapa pengasas Amerika dan polimath, Benjamin Franklin, pernah berkata, "beritahu saya dan saya lupa, ajar saya dan saya mungkin ingat, tetapi melibatkan saya dan saya belajar". Begitu juga, dalam dunia DevOps dan keselamatan siber yang semakin kompleks, di mana ancaman yang muncul dan berterusan sangat besar, paradigma "beralih ke kiri" merancang perisian dari awal dan tepat dari awal masuk akal. Lalu, apa yang dapat kita pelajari dan pakai dari amalan terbaik dari 128 organisasi luminary, dalam bentuk BSIMM12 (Building Security in Maturity Model), sekarang dalam edisi ke-12 yang sedang berjalan? Pelepasan vendor ada di bawah.

Sinopsis Menerbitkan Kajian BSIMM12 yang Menyoroti Pertumbuhan Terkenal dalam Sumber Terbuka, Awan, dan Usaha Keselamatan Kontena

Iterasi ke-12 Building Security In Maturity Model mencerminkan gangguan ransomware dan rangkaian bekalan perisian berprofil tinggi yang mendorong peningkatan perhatian terhadap keselamatan perisian.

SINGAPURA, @mcgallen #microwireinfo, 29 September 2021 - Synopsys, Inc. (Nasdaq: SNPS) hari ini diterbitkan BSIMM12, versi terbaru dari Model Keselamatan Dalam Kematangan (BSIMM) melaporkan, dibuat untuk membantu organisasi merancang, melaksanakan, mengukur, dan meningkatkan inisiatif keselamatan perisian mereka. BSIMM12 mencerminkan amalan keselamatan perisian yang diamati di 128 syarikat dari pelbagai industri termasuk perkhidmatan kewangan, FinTech, vendor perisian bebas, cloud, penjagaan kesihatan, dan Internet of Things. BSIMM12 menerangkan karya hampir 3,000 ahli kumpulan keselamatan perisian dan lebih daripada 6,000 anggota satelit. BSIMM digunakan oleh organisasi di seluruh dunia sebagai kayu ukur untuk membandingkan dan membezakan inisiatif mereka sendiri dengan data dari komuniti BSIMM yang lebih luas.

Data BSIMM12 menunjukkan peningkatan 61% dalam pengenalpastian kumpulan keselamatan perisian dan pengurusan sumber terbuka selama dua tahun terakhir, hampir pasti disebabkan oleh berlakunya komponen sumber terbuka dalam perisian moden dan peningkatan serangan menggunakan projek sumber terbuka yang popular sebagai vektor.

Pertumbuhan aktiviti yang berkaitan dengan platform awan dan teknologi kontena menunjukkan kesan dramatik yang dimiliki oleh teknologi ini terhadap bagaimana organisasi menggunakan dan mengamankan perisian. Sebagai contoh, pemerhatian "penggunaan orkestrasi untuk kontena dan persekitaran virtual" meningkat 560% selama dua tahun terakhir.

“Selama 18 bulan terakhir, organisasi mengalami percepatan inisiatif transformasi digital secara besar-besaran. Ini telah menghasilkan peningkatan penggunaan pendekatan yang ditentukan perisian untuk menyebarkan dan mengurus persekitaran perisian dan tumpukan teknologi cloud, ”kata Mike Ware, Pengetua Keselamatan Maklumat di Navy Federal Credit Union, organisasi anggota komuniti BSIMM. "Memandangkan kerumitan dan kecepatan perubahan ini, pasukan keselamatan tidak pernah lebih penting untuk memiliki alat yang memungkinkan mereka untuk memahami di mana mereka berdiri dan memiliki rujukan di mana mereka harus berputar seterusnya. BSIMM adalah alat pengurusan untuk memenuhi tujuan tersebut. BSIMM menyediakan lensa unik bagaimana organisasi mengubah strategi untuk melaksanakan ciri keselamatan yang ditentukan perisian seperti polisi sebagai kod untuk diselaraskan dengan prinsip dan amalan pembangunan perisian moden. "

"Kajian BSIMM membolehkan organisasi membuat penanda aras amalan keselamatan semasa mereka sehingga mereka dapat menetapkan keutamaan dan menjaga perspektif sebagai tindak balas terhadap trend yang muncul di lanskap keselamatan," kata Mathieu Chevalier, Lead Security Architect, Genetec Inc., organisasi anggota Komuniti BSIMM. “Model deskriptif BSIMM membantu organisasi menentukan bagaimana untuk memulakan membina inisiatif keselamatan perisian dan matang dengan berkesan. Pengamatan BSIMM12 mengenai model tanggungjawab bersama khususnya harus mendorong para pemimpin keselamatan untuk mempertimbangkan bagaimana mereka berkembang untuk memenuhi dan mengurangkan kemungkinan jurang dalam strategi keselamatan mereka. "

"Kajian BSIMM sangat sejajar dengan mengakses amalan terbaik industri. Ini dapat digunakan untuk memahami tingkat kematangan dalam berbagai kegiatan keamanan pembangunan seperti yang diperhatikan di beberapa pasukan pembangunan, ”kata Todd Wiedman, CISO di Landis + Gyr, organisasi anggota komuniti BSIMM. “Dengan amalan pengembangan perisian yang semakin cepat, data BSIMM12 menggambarkan peralihan sebenar yang berlaku dalam program pembangunan keselamatan. Dengan maklumat ini, organisasi dapat menyesuaikan strategi mereka sendiri untuk melindungi organisasi dan pelanggan mereka tanpa meredam inovasi. "

"Sebagai sebahagian dari Program Keselamatan Produk dan Data kami, kami telah menggunakan kerangka BSIMM untuk membantu kami dalam memajukan strategi keselamatan kami," kata Vinod Raghavan, Pengarah, Program Keselamatan Produk & Data di Finastra, organisasi anggota komunitas BSIMM. "Ini sangat membantu kami membuat penanda aras terhadap organisasi lain dalam perkhidmatan kewangan dan industri lain, yang menyokong kematangan keselamatan."

Trend yang muncul di BSIMM12

  • Gangguan rantai bekalan perisian dan perisian berprofil tinggi mendorong peningkatan perhatian terhadap keselamatan perisian. Selama dua tahun terakhir, data BSIMM menunjukkan peningkatan 61% dalam aktiviti "mengenal pasti sumber terbuka" dan peningkatan 57% dalam aktiviti "buat SLA boilerplates" di kalangan organisasi peserta.
  • Perniagaan belajar bagaimana menerjemahkan risiko menjadi angka. Organisasi berusaha lebih keras untuk mengumpulkan dan menerbitkan data inisiatif keselamatan perisian mereka, yang ditunjukkan dengan peningkatan 30% dari aktiviti "menerbitkan data mengenai keselamatan perisian secara dalaman" selama 24 bulan terakhir.
  • Peningkatan keupayaan untuk keselamatan awan. Peningkatan perhatian eksekutif, kemungkinan digabungkan dengan usaha yang didorong oleh kejuruteraan, juga mengakibatkan organisasi mengembangkan kemampuan mereka sendiri untuk menguruskan keselamatan awan dan menilai model tanggungjawab bersama mereka. Terdapat rata-rata 36 pemerhatian baru selama dua tahun terakhir di seluruh aktiviti yang biasanya berkaitan dengan keselamatan awan.
  • Pasukan keselamatan meminjamkan sumber, kakitangan, dan pengetahuan untuk amalan DevOps.Data BSIMM menunjukkan pergeseran oleh kumpulan keselamatan perisian daripada mewajibkan tingkah laku keselamatan perisian dan ke arah peranan perkongsian — menyediakan sumber, kakitangan, dan pengetahuan kepada amalan DevOps dengan objektif untuk memasukkan usaha keselamatan di jalan kritis untuk penyampaian perisian.
  • Aktiviti Bil Bahan Perisian meningkat sebanyak 367%. Data BSIMM menunjukkan peningkatan keupayaan yang difokuskan pada inventori perisian; membuat perisian Bil Bahan (BOM); memahami bagaimana perisian itu dibina, dikonfigurasi, dan digunakan; dan meningkatkan kemampuan organisasi untuk menggunakan semula berdasarkan telemetri keselamatan. Menunjukkan bahawa banyak organisasi telah mempertimbangkan keperluan untuk perisian BOM yang komprehensif dan terkini, aktiviti BSIMM yang berkaitan dengan kemampuan tersebut ("meningkatkan inventori aplikasi dengan operasi Bil Bahan") meningkat dari 3 hingga 14 pemerhatian selama ini dua tahun — peningkatan 367%.
  • "Shift kiri" berkembang menjadi "shift ke mana-mana." Konsep "shift kiri" memfokuskan pada pengujian keselamatan yang lebih awal dalam proses pembangunan. "Pergeseran ke mana-mana" memperluas idea untuk membuat pengujian keselamatan berterusan sepanjang kitaran hayat perisian, termasuk ujian keselamatan yang digerakkan oleh saluran paip yang lebih kecil, lebih cepat, yang dilakukan pada kesempatan paling awal, yang mungkin dilakukan semasa reka bentuk atau bahkan sepanjang proses produksi.

Langkah menjauhkan diri dari menjaga inventori operasi tradisional dan menuju penemuan aset automatik dan membuat Bil Bahan termasuk menambahkan aktiviti "pergeseran ke mana-mana" seperti menggunakan wadah untuk menegakkan kawalan keselamatan, orkestrasi, dan mengimbas infrastruktur sebagai kod. Peningkatan kadar pemerhatian BSIMM aktiviti seperti "meningkatkan inventori aplikasi dengan operasi Bil Bahan," "menggunakan orkestrasi untuk kontena dan persekitaran virtual," dan "memantau pembuatan aset automatik" semuanya menunjukkan arah aliran ini.

"Sejak tahun 2008, pakar perundingan, penelitian, dan data BSIMM mengumpulkan data mengenai jalan yang berbeda yang diambil oleh organisasi untuk menangani cabaran mendapatkan perisian," kata Jason Schmitt, pengurus besar Kumpulan Integriti Perisian Sinopsis. "Dengan usia rata-rata 4.4 tahun, inisiatif keselamatan perisian organisasi peserta BSIMM mencerminkan bagaimana organisasi menyesuaikan pendekatan mereka untuk menangani dinamika baru pembangunan moden dan amalan penyebaran. Dengan maklumat ini, organisasi kemudian dapat menyesuaikan strategi mereka sendiri untuk melindungi organisasi dan pelanggan mereka tanpa mengurangi inovasi. "

Untuk mengetahui lebih lanjut, muat turun Wawasan dan Trend BSIMM12. Untuk perbincangan interaktif mengenai penemuan utama dalam BSIMM12, daftar ke webinar 21 Oktober kami.

Penghargaan

Sammy Migues, saintis utama di Synopsys, Eli Erlikhman, pengetua utama di Synopsys, Jacob Ewers, perunding keselamatan utama di Synopsys, dan Kevin Nassery, pengarah keselamatan aplikasi di Gemini mengarang BSIMM12 setelah menganalisis data yang dikumpulkan selama hampir 13 tahun penyelidikan keselamatan perisian. Beberapa syarikat yang mengambil bahagian dalam kajian BSIMM termasuk: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis + Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

Mengenai BSIMM

Dimulai pada tahun 2008, Building Security In Maturity Model (BSIMM) adalah alat untuk membuat, mengukur, dan menilai inisiatif keselamatan perisian. Model dan alat pengukuran berdasarkan data yang dikembangkan melalui kajian dan analisis yang teliti terhadap lebih dari 200 inisiatif keselamatan perisian, BSIMM11 merangkumi data dunia nyata dari 128 organisasi. BSIMM adalah standard terbuka yang merangkumi kerangka kerja berdasarkan amalan keselamatan perisian, yang dapat digunakan oleh organisasi untuk menilai dan mematangkan usaha sendiri dalam keselamatan perisian. Untuk maklumat lebih lanjut, lawati www.bsimm.com.

Mengenai Kumpulan Integriti Perisian Sinopsis

Synopsys Software Integrity Group membantu pasukan pembangunan membina perisian berkualiti tinggi yang selamat, meminimumkan risiko sambil memaksimumkan kelajuan dan produktiviti. Sinopsis, peneraju keselamatan aplikasi yang diakui, menyediakan analisis statik, analisis komposisi perisian, dan penyelesaian analisis dinamik yang membolehkan pasukan mencari dan memperbaiki kelemahan dan kecacatan dalam kod proprietari, komponen sumber terbuka, dan tingkah laku aplikasi dengan cepat. Dengan gabungan alat, perkhidmatan, dan kepakaran terkemuka di industri, hanya Synopsys yang membantu organisasi mengoptimumkan keselamatan dan kualiti dalam DevSecOps dan sepanjang kitaran hidup pengembangan perisian. Ketahui lebih lanjut di www.synopsys.com/software.

Mengenai Sinopsis

Synopsys, Inc. (Nasdaq: SNPS) adalah rakan kongsi Silicon to Software ™ untuk syarikat inovatif yang mengembangkan produk elektronik dan aplikasi perisian yang kita andalkan setiap hari. Sebagai syarikat S&P 500, Synopsys mempunyai sejarah panjang sebagai pemimpin global dalam automasi reka bentuk elektronik (EDA) dan IP semikonduktor dan menawarkan portfolio alat dan perkhidmatan pengujian keselamatan aplikasi industri yang paling luas. Sama ada anda pereka sistem-on-chip (SoC) yang mencipta semikonduktor canggih, atau pembangun perisian yang menulis kod berkualiti tinggi yang lebih selamat, Synopsys mempunyai penyelesaian yang diperlukan untuk menyampaikan produk inovatif. Ketahui lebih lanjut di www.synopsys.com.

# # #