опубликовано

Сингапур, @mcgallen #microwireinfo, 19 сентября, 2019 - Synopsys, Inc. (Nasdaq: СНПС) сегодня выпущен BSIMM10, последняя версия модели Building Security In Maturity Model (BSIMM), предназначенная для помощи организациям в планировании, реализации, совершенствовании и оценке своих инициатив по обеспечению безопасности программного обеспечения (SSI). За последнее десятилетие Synopsys использовала BSIMM почти 450 раз в 185 компаниях, и эта 10-я итерация отражает действия по обеспечению безопасности программного обеспечения, наблюдаемые в 122 компаниях. BSIMM10 также подчеркивает влияние DevOps на инициативы в области безопасности программного обеспечения, появление новой волны инженерных усилий по обеспечению безопасности и то, как компании продвигаются через три этапа зрелости безопасности программного обеспечения. Чтобы скачать отчет, посетите www.bsimm.com/download.html.


«С 2008 года BSIMM служит эффективным инструментом для понимания того, как организации всех форм и размеров, в том числе некоторые из самых продвинутых групп безопасности в мире, реализуют свои стратегии безопасности программного обеспечения», - сказал Джим Раус, руководитель отдела корпоративной информации Управление рисками в MassMutual. «Текущие данные BSIMM отражают, сколько организаций адаптируют свои подходы к новой динамике современных практик разработки и развертывания, такой как более короткие циклы выпуска, более широкое использование автоматизации и программно-определяемая инфраструктура».

BSIMM10 описывает работу 7,900 профессионалов в области безопасности программного обеспечения, чьи усилия направляют и максимизируют усилия по обеспечению безопасности почти 470,000 173,000 разработчиков, работающих над более чем 10 XNUMX приложений. BSIMMXNUMX представляет фирмы в отраслевых вертикалях, включая финансовые услуги, высокие технологии, независимых поставщиков программного обеспечения (ISV), облачные сервисы, здравоохранение, Интернет вещей (IoT), страхование и розничную торговлю.

Основные выводы исследования BSIMM10:

  • Влияние DevOps на безопасность программного обеспечения: Данные BSIMM показывают, что движение DevOps и внедрение инструментов непрерывной интеграции и непрерывной доставки (CI / CD) влияют на подход компаний к безопасности программного обеспечения. Это видно в добавлении к BSIMM трех новых действий, которые отражают, как фирмы активно работают над автоматизацией действий по обеспечению безопасности, чтобы соответствовать скорости, с которой их бизнес поставляет функциональные возможности на рынок. BSIMM10 также включает обновленные описания и примеры существующих действий, чтобы отразить, как они реализуются в рамках современных организаций DevOps.
  • Новая волна инженерной культуры безопасности: BSIMM10 - первое исследование, формально отражающее изменения в культуре SSI, наблюдаемые в новой волне усилий инженеров по обеспечению безопасности программного обеспечения, начинающихся снизу вверх в группах разработки и эксплуатации, а не сверху вниз от централизованной группы безопасности программного обеспечения. В некоторых организациях культура безопасности, ориентированная на инженеров, преодолела борьбу за создание и развитие значимых усилий по обеспечению безопасности программного обеспечения. Эта новая волна культуры безопасности, основанной на инженерии, возникает в ответ как на требования современных методов доставки программного обеспечения, таких как Agile и DevOps, так и на нежелательные трения с существующими SSI.
  • Фирмы используют BSIMM для управления безопасностью программного обеспечения: BSIMM10 - это первое издание, в котором определены три фазы зрелости SSI - зарождение, созревание, оптимизация - и описано, как разные фирмы обычно проходят через них. Данные BSIMM показывают, что организации со временем заметно улучшаются, и многие из них достигают уровня зрелости, когда они сосредотачиваются на глубине, широте и масштабе выполняемой ими деятельности, а не всегда стремятся к большему количеству действий.

«Возглавить эффективную инициативу по обеспечению безопасности программного обеспечения непросто, и драматические технологические и организационные сдвиги, вызванные DevOps и CI / CD, не облегчают эту задачу, - сказал Сэмми Мигес, главный научный сотрудник Synopsys. «Как инструмент, который постоянно развивается, чтобы отражать опыт сотен групп по безопасности программного обеспечения по всему миру, BSIMM и его сообщество являются бесценными ресурсами, независимо от того, только ли вы начинаете свой путь, хотите оптимизировать свою программу или решаете новые задачи. . »

BSIMM включает в себя данные, собранные от фирм, которые создали реальные SSI, количественную оценку возникновения 119 видов деятельности, чтобы показать общую основу, разделяемую многими инициативами, а также варианты, которые делают каждую инициативу уникальной. Данные BSIMM показывают, что высокоразвитые инициативы разносторонне развиты, выполняя многочисленные действия во всех 12 практиках, описанных в модели. Организации могут использовать BSIMM для сравнения инициатив и определения дополнительных действий, которые могут быть полезны для поддержки их общих стратегий.

Благодарности
Сэмми Мигес, главный научный сотрудник Synopsys, Майкл Уэр, управляющий директор Synopsys, и Джон Стивен, технический директор ZeroNorth, создали BSIMM10 после анализа данных, собранных за последние 11 лет исследований безопасности программного обеспечения. Некоторые из компаний, участвующих в исследовании BSIMM, включают: Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp , NVIDIA, PayPal, Основная финансовая группа, Королевский банк Канады, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Wells Fargo и Zendesk.

О BSIMM
Созданная в 2008 году модель Building Security In Maturity Model (BSIMM) представляет собой инструмент для измерения и оценки инициатив по обеспечению безопасности программного обеспечения. Модель на основе данных и инструмент измерения, разработанный на основе тщательного изучения и анализа инициатив по обеспечению безопасности программного обеспечения, BSIMM включает в себя реальные данные от более чем 120 организаций. BSIMM - это открытый стандарт, который включает в себя структуру, основанную на методах обеспечения безопасности программного обеспечения, которую организация может использовать для оценки собственных усилий в области безопасности программного обеспечения. Для получения дополнительной информации посетите www.bsimm.com.

О группе обеспечения целостности программного обеспечения Synopsys 
Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное, высококачественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на https://www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой защиты, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на https://www.synopsys.com/.

###