опубликовано

Впервые выпущенная в Азиатско-Тихоокеанском регионе, последняя итерация модели Building Security in Maturity Model показывает, что больше организаций начинают свои инициативы по обеспечению безопасности программного обеспечения с помощью оценок и улучшений с течением времени

Сингапур, @mcgallen #microwireinfo, 9 октября 2017 г. - Synopsys, Inc. (Nasdaq: SNPS) выпустил BSIMM8, последняя версия ведущей модели зрелости безопасности программного обеспечения, которая основана на реальных данных и помогает организациям планировать, выполнять и оценивать свои инициативы по обеспечению безопасности программного обеспечения (SSI). Впервые выпущенная в Азиатско-Тихоокеанском регионе, восьмая итерация модели Building Security in Maturity Model (BSIMM) основана на данных, собранных на сегодняшний день крупнейшим сообществом. BSIMM8 показывает, что безопасность программного обеспечения становится критически важным приоритетом бизнеса, поскольку все больше организаций проводят сравнительный анализ своих усилий на ранних этапах жизненного цикла SSI и стратегически используют результаты для улучшения своей оценки рисков с течением времени. Чтобы скачать отчет, посетите https://www.bsimm.com/download.html.

«С ростом широко распространенных и все более разрушительных атак, направленных на уязвимое программное обеспечение, мы наблюдаем переход от реактивного подхода« проникни и исправь »к более проактивным стратегиям, которые позволяют организациям систематически создавать безопасное программное обеспечение с нуля», - сказал доктор Гэри МакГроу, вице-президент по технологиям безопасности Synopsys. «Организации начинают понимать, что они могут снизить риск более эффективно, создав инициативу по безопасности программного обеспечения, оценив свои сильные и слабые стороны на раннем этапе с помощью таких инструментов, как BSIMM, и сосредоточив свои усилия на наиболее подходящих методах и действиях».

BSIMM8 включает данные, собранные от 109 компаний, и описывает работу 4,769 профессионалов в области безопасности программного обеспечения, демонстрируя научные основы передовых методов обеспечения безопасности программного обеспечения. Их работа направляет и максимизирует усилия по обеспечению безопасности почти 300,000 95,000 разработчиков примерно для 8 XNUMX приложений. Фирмы BSIMMXNUMX представляют отраслевые вертикали, включая финансовые услуги, независимых поставщиков программного обеспечения (ISV), облако, здравоохранение, Интернет вещей (IoT) и страхование.

Основные выводы исследования BSIMM8:

  • Организации используют BSIMM для быстрого запуска своих SSI. BSIMM8 представляет фирмы на ранних этапах жизненного цикла SSI, о чем свидетельствует небольшое снижение среднего показателя зрелости1 (33.1, по сравнению с 33.9 в BSIMM7) и среднего возраста группы безопасности программного обеспечения (3.88 года, по сравнению с 3.94 в BSIMM7) Население BSIMM. Тестирование SSI - один из важнейших первых шагов на пути к обеспечению безопасности программного обеспечения.
  • Фирмы BSIMM созревают со временем. Фирмы, которые участвовали в нескольких оценках BSIMM, демонстрируют четкую тенденцию к улучшению, при этом оценки увеличиваются в среднем на 10.3 или 33.4 процента. Бенчмаркинг - это эффективное упражнение, которое направляет организации по оптимальному пути к последовательному созданию безопасного программного обеспечения.
  • Срок погашения зависит от отрасли. Каждая отрасль отдает предпочтение определенным видам деятельности по сравнению с другими, и каждая отрасль и отдельная организация имеют свой путь к обеспечению безопасности. В среднем компании, занимающиеся облачными, финансовыми услугами и независимыми поставщиками программного обеспечения, более зрелые, чем компании в сфере здравоохранения, Интернета вещей и страхования. Фирмы, предоставляющие финансовые услуги и облачные вычисления, имеют заметно более высокие показатели соответствия и политики, в то время как фирмы IoT имеют наиболее зрелые практики программной среды.

Согласно Gartner, «безопасность приложений требует структурированного программного подхода, позволяющего справиться с кажущимся хаосом новых технологий и меняющимся ландшафтом угроз. Успешная программа безопасности приложений должна состоять из сбалансированного сочетания людей, процессов и технологий »2.

BSIMM наблюдает за фирмами, которые внедрили реальные инициативы в области безопасности программного обеспечения, количественно оценивая наличие 113 действий, чтобы показать точки соприкосновения, разделяемые многими инициативами, а также различия, которые делают каждую инициативу уникальной. Данные BSIMM показывают, что высокоразвитые инициативы разносторонне развиты - они выполняют многочисленные действия во всех 12 практиках, описанных в модели. Организации могут использовать BSIMM для сравнения инициатив и определения дополнительных действий, которые могут быть полезны.

Благодарности
Доктор Макгроу вместе с Сэмми Мигес, главным научным сотрудником Synopsys, и Джейкобом Уэстом, главным архитектором NetSuite, проанализировали данные, собранные за последние девять лет исследований в области безопасности программного обеспечения. В оценках участвовали следующие компании: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco. , Citigroup, Citizen's Bank, Comerica Bank, Cryptography Research (подразделение Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Основная финансовая группа, Qualcomm, Королевский банк Канады, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, Консультативный совет, The Home Depot, The Vanguard Group, Trainline, Trane, США Ba nk, Veritas, Verizon, Wells Fargo, Zendesk и Zephyr Health.

1. Оценка BSIMM отражает общее количество действий по обеспечению безопасности программного обеспечения, наблюдаемых во время оценки инициативы компании по обеспечению безопасности программного обеспечения. Каждое действие оценивается в один балл, а структура BSIMM включает 113 действий.

2. Источник: Gartner, «Руководящие принципы для создания и развития программы безопасности приложений», 23 декабря 2016 г., Майкл Исбитски и Рамон.

О BSIMM
Созданная в 2008 году модель Building Security in Maturity Model (BSIMM) представляет собой инструмент для измерения и оценки инициатив в области безопасности программного обеспечения. Модель на основе данных и инструмент измерения, разработанный на основе тщательного изучения и анализа инициатив по обеспечению безопасности программного обеспечения, BSIMM включает в себя реальные данные от более чем 100 организаций. BSIMM - это открытый стандарт, который включает структуру, основанную на методах обеспечения безопасности программного обеспечения, которую организация может использовать для оценки своих собственных усилий в области безопасности программного обеспечения. Для получения дополнительной информации посетите https://www.bsimm.com.

О платформе обеспечения целостности программного обеспечения Synopsys
Synopsys предлагает наиболее полное решение для обеспечения целостности - безопасности и качества - в жизненном цикле разработки программного обеспечения и цепочке поставок. Платформа Software Integrity Platform объединяет передовые технологии тестирования, автоматизированный анализ и экспертов для создания надежного портфеля продуктов и услуг. Этот портфель позволяет компаниям разрабатывать персонализированные программы для обнаружения и устранения дефектов и уязвимостей на ранних этапах процесса разработки, сводя к минимуму риски и максимизируя производительность. Synopsys, признанный лидер в области тестирования безопасности приложений, обладает уникальными возможностями для адаптации и применения передовых практик к новым технологиям и тенденциям, таким как Интернет вещей, DevOps, CI / CD и облако. Для получения дополнительной информации перейдите на www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###