опубликовано

Краткое изложение редактора: если вы используете DevOps в своей организации, крайне важно обеспечить одновременно качество и безопасность программного обеспечения, особенно против сегодняшнего мира злоумышленников, вторгающихся в каждый узел, программное обеспечение или систему. 11-е издание BSIMM (Building Security In Maturity Model), или BSIMM11, отражает топографию 130 компаний из таких отраслей, как финансовые услуги, финтех, независимые поставщики программного обеспечения, облачные вычисления, здравоохранение, Интернет вещей и розничная торговля. Пресс-релиз производителя находится ниже.

Synopsys публикует исследование BSIMM11, подчеркивающее фундаментальные сдвиги в инициативах по обеспечению безопасности программного обеспечения в ответ на DevOps и цифровую трансформацию

em> 11-я итерация модели Building Security In Maturity Model отражает то, как организации адаптируют свои усилия по обеспечению безопасности программного обеспечения для поддержки современных парадигм разработки программного обеспечения.

СИНГАПУР, @mcgallen #microwireinfo, 16 сентября 2020 г.-Synopsys, Inc. (Nasdaq: SNPS) сегодня опубликовано BSIMM11, последняя версия Создание модели безопасности в зрелости (BSIMM), созданный, чтобы помочь организациям планировать, выполнять, оценивать и улучшать свои инициативы по обеспечению безопасности программного обеспечения (SSI). BSIMM11 отражает методы обеспечения безопасности программного обеспечения, применяемые в 130 компаниях из различных отраслевых вертикалей, включая финансовые услуги, FinTech, независимых поставщиков программного обеспечения, облачные вычисления, здравоохранение, Интернет вещей, страхование и розничную торговлю. BSIMM11 описывает работу 8,457 490,000 профессионалов в области безопасности программного обеспечения, которые руководят усилиями более XNUMX XNUMX разработчиков.

BSIMM используется организациями как мерило для сравнения и сопоставления собственных инициатив с данными более широкого сообщества BSIMM. BSIMM11 показывает, что многие организации адаптируют свои усилия по обеспечению безопасности программного обеспечения для поддержки цифровой трансформации и современных парадигм разработки программного обеспечения, таких как DevOps.

«BSIMM - отличный ресурс для руководителей служб безопасности, заинтересованных в изучении коллективного опыта своих коллег, особенно для решения новых или возникающих проблем», - сказал Майк Новорожденный, Директор по информационной безопасности Федерального кредитного союза ВМФ, входящей в сообщество BSIMM. «Сегодня большинство организаций сталкивается с проблемой защиты растущего портфеля приложений на фоне быстро развивающихся и ускоряющихся практик разработки программного обеспечения. BSIMM11 отражает то, как многие из этих организаций адаптируют свои стратегии безопасности программного обеспечения, чтобы защитить себя и своих клиентов, не подавляя инновации и не снижая скорости разработки ».

Новые тенденции в BSIMM11

  • Усилия инженеров по обеспечению безопасности программного обеспечения успешно вносят свой вклад в потоки создания ценности DevOps в стремлении к отказоустойчивости. BSIMM11 показывает, что инструментарий CI / CD и оркестровка операций стали стандартными компонентами инициатив по безопасности программного обеспечения многих организаций и влияют на их организацию, разработку и выполнение. Например, группы по безопасности программного обеспечения все чаще подчиняются технологической группе или техническому директору (в отличие от группы ИТ-безопасности или директора по информационной безопасности) и меняют методы набора и организации талантов внутри компании.
  • Программно-определяемое управление безопасностью больше не является просто желательным. Организации заменяют некоторые вызывающие повышенное трение, внеполосные действия по обеспечению безопасности автоматизированными действиями, запускаемыми событиями в ходе выполнения конвейера CI / CD. Преобразование человеческих процессов и процессов принятия решений в алгоритмы - один из способов, которым организации все чаще решают проблемы ограничения ресурсов и проблемы управления каденцией. 
  • «Сдвиг влево» становится «смещением везде». Реализация концепции «сдвига влево» эволюционировала от буквального толкования выполнения некоторого тестирования безопасности на ранних этапах цикла разработки до выполнения действий по обеспечению безопасности, как только становятся доступными артефакты, которые необходимо просмотреть. Это может означать, что находится слева от того места, где раньше выполнялись действия, но часто это справа, в том числе в производстве.
  • Введение вертикали FinTech в пул данных BSIMM. После тщательного изучения растущего пула данных о фирмах в финансовой вертикали стало очевидно, что необходимо добавить отдельную вертикаль для учета фирм, которые фактически являются независимыми поставщиками программного обеспечения специально для программного обеспечения финансовых услуг.

«Способы создания и развертывания современного программного обеспечения кардинально изменились за последние несколько лет, поэтому, естественно, меняются и усилия, необходимые для защиты этого программного обеспечения», - сказал Майкл Уэр, соавтор BSIMM и старший директор по технологиям Synopsys. «Компании критически зависят от программного обеспечения, а современные методологии ускорили разработку. В результате повсюду больше программного обеспечения, и нам все еще нужно беспокоиться обо всем уже существующем программном обеспечении. В качестве модели, которая постоянно развивается, чтобы представить фактические методы, используемые сотнями групп по безопасности программного обеспечения по всему миру, включая некоторые из самых продвинутых команд в мире, BSIMM обеспечивает представление о том, как происходят эти изменения, почти в реальном времени. реализовано для защиты растущего портфеля программного обеспечения ».

Новые действия в BSIMM представляют собой переход к DevSecOps

Три вида деятельности, добавленные в BSIMM10, продемонстрировали исключительный рост за последний год (SM3.4 «Интеграция программно-определяемого управления жизненным циклом», AM3.3 «Мониторинг автоматического создания активов», CMVM3.5 «Автоматическая проверка безопасности операционной инфраструктуры»). Это отражает то, как некоторые организации активно работают над ускорением усилий по обеспечению безопасности программного обеспечения, чтобы соответствовать темпам доставки программного обеспечения. Кроме того, два действия, добавленные в BSIMM11, представляют собой продолжение этой тенденции (ST3.6 «Реализация тестирования безопасности на основе событий», CMVM3.6 «Публикация данных о рисках для развертываемых артефактов»).

BSIMM в разных отраслях

BSIMM обеспечивает уникальную аналитическую информацию на основе данных для понимания и сравнения относительных сильных и слабых сторон инициатив по обеспечению безопасности программного обеспечения в различных отраслях. Облако, Интернет вещей и компании, занимающиеся высокими технологиями, - это три наиболее зрелых направления в пуле данных BSIMM11. BSIMM11 также подчеркивает различия между тремя строго регулируемыми отраслями: финансовые услуги, здравоохранение и страхование. Отрасль финансовых услуг, в которой группы по безопасности программного обеспечения были созданы раньше, чем в других отраслях, была признана более зрелой по сравнению с их аналогами в сфере здравоохранения и страхования. Впервые BSIMM представляет данные по вертикали FinTech и обнаружил, что он довольно близко отслеживает финансовые услуги, причем основные дельты (в пользу FinTech) происходят в практиках обучения, тестирования безопасности и проверки кода.

Читать Дайджест BSIMM11 или загрузите полную Исследование BSIMM11.

Для живого обсуждения ключевого открытия BSIMM11 зарегистрируйтесь на наш вебинар 15 октября, BSIMM11: эволюция DevSecOps

Благодарности

Сэмми Мигес, главный научный сотрудник Synopsys, Майкл Уэр, старший директор по технологиям Synopsys, и Джон Стивен, основатель Aedify Security, создали BSIMM11 после анализа данных, собранных в течение почти 12 лет исследований безопасности программного обеспечения. Некоторые из компаний, участвующих в исследовании BSIMM, включают: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank. , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Основная финансовая группа , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo и Zendesk.

О BSIMM

Созданная в 2008 году модель Building Security In Maturity Model (BSIMM) представляет собой инструмент для создания, измерения и оценки инициатив по обеспечению безопасности программного обеспечения. Модель на основе данных и инструмент измерения, разработанный на основе тщательного изучения и анализа более 200 инициатив по обеспечению безопасности программного обеспечения, BSIMM11 включает текущие, реальные данные от 130 организаций. BSIMM - это открытый стандарт, который включает в себя структуру, основанную на методах обеспечения безопасности программного обеспечения, которую организация может использовать для оценки и совершенствования собственных усилий в области безопасности программного обеспечения. Для получения дополнительной информации посетите www.bsimm.com.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###