опубликовано

Краткое содержание редактора: один из отцов-основателей и эрудитов Америки Бенджамин Франклин однажды сказал: «Скажи мне, и я забуду, научи меня, и я, возможно, вспомню, но вовлекай меня, и я учусь». Точно так же во все более сложном мире DevOps и кибербезопасности, где возникающие и текущие угрозы огромны, парадигма «сдвига влево», заключающаяся в правильном и безопасном проектировании программного обеспечения с самого начала, имеет смысл. Что же тогда мы можем изучить и перенять из лучших практик 128 выдающихся организаций в форме BSIMM12 (Building Security in Maturity Model), которая сейчас работает в 12-м издании? Релиз производителя приведен ниже.

Synopsys публикует исследование BSIMM12, показывающее заметный рост усилий по обеспечению безопасности открытого исходного кода, облака и контейнеров

12-я итерация модели «Обеспечение безопасности в зрелости» отражает широко распространенные сбои в цепочке поставок программ-вымогателей и программного обеспечения, что привлекает повышенное внимание к безопасности программного обеспечения.

СИНГАПУР, @mcgallen #microwireinfo, 29 сентября 2021 г.Synopsys, Inc. (Nasdaq: SNPS) сегодня опубликовано BSIMM12, последняя версия Создание модели безопасности в зрелости (BSIMM) отчет, созданный, чтобы помочь организациям планировать, выполнять, оценивать и улучшать свои инициативы по обеспечению безопасности программного обеспечения. BSIMM12 отражает методы обеспечения безопасности программного обеспечения, применяемые 128 фирмами из различных отраслевых вертикалей, включая финансовые услуги, FinTech, независимых поставщиков программного обеспечения, облака, здравоохранение и Интернет вещей. BSIMM12 описывает работу почти 3,000 членов группы безопасности программного обеспечения и более 6,000 членов-сателлитов. BSIMM используется организациями по всему миру в качестве меры для сравнения своих собственных инициатив с данными более широкого сообщества BSIMM.

Данные BSIMM12 показывают, что за последние два года количество групп по обеспечению безопасности программного обеспечения и управление ими с открытым исходным кодом увеличилось на 61%, что почти наверняка связано с преобладанием компонентов с открытым исходным кодом в современном программном обеспечении и ростом атак с использованием популярных проектов с открытым исходным кодом в качестве векторов.

Рост активности, связанной с облачными платформами и контейнерными технологиями, показывает огромное влияние этих технологий на то, как организации используют и защищают программное обеспечение. Например, наблюдения за «оркестровкой использования контейнеров и виртуализированных сред» увеличились на 560% за последние два года.

«За последние 18 месяцев в организациях произошло резкое ускорение инициатив по цифровой трансформации. Это привело к более широкому внедрению программно-определяемых подходов к развертыванию и управлению программными средами и стеками облачных технологий », - сказал Майк Уэр, руководитель службы информационной безопасности Navy Federal Credit Union, организации, входящей в сообщество BSIMM. «Учитывая сложность и скорость этих изменений, для групп безопасности как никогда важно иметь инструменты, которые позволяют им понять, где они находятся, и иметь ссылку на то, куда им следует двигаться дальше. BSIMM - это инструмент управления для этой цели. BSIMM дает уникальную возможность увидеть, как организации меняют стратегии реализации программно-определяемых функций безопасности, таких как политика как код, в соответствии с современными принципами и практикой разработки программного обеспечения ».

«Исследование BSIMM позволяет организациям сравнивать свои текущие методы обеспечения безопасности, чтобы они могли устанавливать приоритеты и сохранять перспективу в ответ на возникающие тенденции в сфере безопасности», - сказал Матье Шевалье, ведущий архитектор безопасности, Genetec Inc., членская организация Сообщество BSIMM. «Описательная модель BSIMM помогает организациям определить, как приступить к созданию инициативы по обеспечению безопасности программного обеспечения и эффективно ее усовершенствовать. Наблюдения BSIMM12 в отношении моделей совместной ответственности, в частности, должны побудить руководителей службы безопасности задуматься о том, как они развиваются, чтобы устранить и устранить любые потенциальные пробелы в своей стратегии безопасности ».

«Исследование BSIMM очень согласовано с точки зрения доступа к лучшим отраслевым практикам. Его можно использовать для понимания уровня зрелости различных действий по обеспечению безопасности, наблюдаемых в нескольких командах разработчиков », - сказал Тодд Видман, директор по информационной безопасности в Landis + Gyr, членской организации сообщества BSIMM. «Благодаря быстро развивающейся практике разработки программного обеспечения данные BSIMM12 иллюстрируют реальные изменения, происходящие в программах разработки безопасности. Обладая этой информацией, организации могут адаптировать свои собственные стратегии для защиты своей организации и клиентов, не препятствуя инновациям ».

«В рамках нашей программы безопасности продуктов и данных мы использовали структуру BSIMM, чтобы помочь нам в продвижении нашей стратегии безопасности», - сказал Винод Рагхаван, директор программы безопасности продуктов и данных Finastra, организации, входящей в сообщество BSIMM. «Это помогло нам провести сравнительный анализ с другими организациями как в сфере финансовых услуг, так и в других отраслях, поддерживая зрелость безопасности».

Новые тенденции в BSIMM12

  • Крупные программы-вымогатели и сбои в цепочке поставок программного обеспечения привлекают повышенное внимание к безопасности программного обеспечения. За последние два года данные BSIMM показывают, что активность по «определению открытого исходного кода» увеличилась на 61%, а активность по «созданию шаблонов SLA» среди организаций-участников увеличилась на 57%.
  • Компании учатся переводить риск в числа. Организации прилагают больше усилий для сбора и публикации данных своих инициатив по обеспечению безопасности программного обеспечения, о чем свидетельствует увеличение на 30% активности «публиковать данные о безопасности программного обеспечения внутри компании» за последние 24 месяца.
  • Расширенные возможности облачной безопасности. Повышенное внимание руководства, вероятно, в сочетании с усилиями инженеров, также привело к тому, что организации разработали собственные возможности для управления облачной безопасностью и оценки своих моделей совместной ответственности. За последние два года было сделано в среднем 36 новых наблюдений по деятельности, обычно связанной с облачной безопасностью.
  • Команды безопасности предоставляют ресурсы, персонал и знания для практики DevOps.Данные BSIMM показывают переход групп безопасности программного обеспечения от обязательного поведения в отношении безопасности программного обеспечения к партнерской роли - предоставление ресурсов, персонала и знаний для практики DevOps с целью включения мер безопасности в критический путь доставки программного обеспечения.
  • Объем операций со спецификациями программного обеспечения увеличился на 367%. Данные BSIMM показывают увеличение возможностей, направленных на инвентаризацию программного обеспечения; создание программного обеспечения Bill of Materials (BOM); понимание того, как программное обеспечение было создано, настроено и развернуто; и повышение способности организации к повторному развертыванию на основе телеметрии безопасности. Демонстрируя, что многие организации осознали потребность во всеобъемлющей, актуальной спецификации программного обеспечения, активность BSIMM, связанная с этими возможностями («улучшение инвентаризации приложений с помощью спецификации операций») выросла с 3 до 14 наблюдений за прошлый период. за два года - рост на 367%.
  • «Сдвиг влево» превращается в «сдвиг повсюду». Концепция «сдвига влево» фокусируется на переносе тестирования безопасности на более ранний этап процесса разработки. «Сдвиг повсюду» расширяет идею непрерывного тестирования безопасности на протяжении всего жизненного цикла программного обеспечения, включая меньшие, более быстрые, конвейерные тесты безопасности, проводимые при первой же возможности, что может быть во время проектирования или даже на всем протяжении производства.

Переход от ведения традиционных операционных инвентаризаций к автоматическому обнаружению активов и созданию ведомостей материалов включает добавление действий «сдвиг повсюду», таких как использование контейнеров для обеспечения контроля безопасности, оркестровка и сканирование инфраструктуры в виде кода. Увеличение количества наблюдений BSIMM для таких действий, как «расширение инвентаризации приложений с помощью спецификаций операций», «использование оркестровки для контейнеров и виртуализированных сред» и «мониторинг автоматического создания активов» - все это демонстрирует эту тенденцию.

«С 2008 года специалисты по консалтингу, исследованиям и данным BSIMM собирают данные о различных путях, которые организации используют для решения проблем защиты программного обеспечения, - сказал Джейсон Шмитт, генеральный менеджер Synopsys Software Integrity Group. «Со средним возрастом 4.4 года инициативы организаций-участников BSIMM по обеспечению безопасности программного обеспечения отражают то, как организации адаптируют свои подходы к новой динамике современных методов разработки и развертывания. Обладая этой информацией, организации могут адаптировать свои собственные стратегии для защиты своей организации и клиентов, не препятствуя инновациям ».

Чтобы узнать больше, загрузите BSIMM12 Insights и тенденции. Для интерактивного обсуждения основных выводов BSIMM12, зарегистрируйтесь на наш вебинар 21 октября.

Благодарности

Сэмми Мигес, главный научный сотрудник Synopsys, Эли Эрлихман, управляющий директор Synopsys, Джейкоб Эверс, главный консультант по безопасности в Synopsys, и Кевин Нассери, директор по безопасности приложений в Gemini, создали BSIMM12 после анализа данных, собранных в течение почти 13 лет исследований в области безопасности программного обеспечения. Некоторые из компаний, участвующих в исследовании BSIMM, включают: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis + Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Основная финансовая группа, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

О BSIMM

Созданная в 2008 году модель Building Security In Maturity Model (BSIMM) представляет собой инструмент для создания, измерения и оценки инициатив по обеспечению безопасности программного обеспечения. Модель на основе данных и инструмент измерения, разработанный на основе тщательного изучения и анализа более 200 инициатив по обеспечению безопасности программного обеспечения, BSIMM11 включает текущие, реальные данные от 128 организаций. BSIMM - это открытый стандарт, который включает в себя структуру, основанную на методах обеспечения безопасности программного обеспечения, которую организация может использовать для оценки и совершенствования собственных усилий в области безопасности программного обеспечения. Для получения дополнительной информации посетите www.bsimm.com.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже долгое время является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, у Synopsys есть решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###