โพสต์

บทสรุปโดยบรรณาธิการ: Benjamin Franklin บิดาผู้ก่อตั้งและพหูสูตคนหนึ่งของอเมริกา เคยกล่าวไว้ว่า "บอกฉันที และฉันลืม สอนฉันและฉันอาจจะจำได้ แต่ให้มีส่วนร่วมกับฉันและฉันเรียนรู้" ในทำนองเดียวกัน ในโลกที่ซับซ้อนมากขึ้นของ DevOps และความปลอดภัยทางไซเบอร์ ที่ซึ่งภัยคุกคามที่เกิดขึ้นใหม่และต่อเนื่องมีมากมายมหาศาล กระบวนทัศน์ "ไปทางซ้าย" ของการออกแบบซอฟต์แวร์ให้ถูกต้องและปลอดภัยตั้งแต่เริ่มต้นก็สมเหตุสมผลดี แล้วเราจะเรียนรู้อะไรจากแนวปฏิบัติที่ดีที่สุดของ 128 luminary ในรูปแบบ BSIMM12 (Building Security in Maturity Model) ได้บ้าง ซึ่งตอนนี้อยู่ในรุ่นที่ 12 แล้ว? การเปิดตัวของผู้จัดจำหน่ายอยู่ด้านล่าง

Synopsys เผยแพร่ผลการศึกษา BSIMM12 เน้นย้ำถึงการเติบโตที่โดดเด่นในความพยายามด้านความปลอดภัยของโอเพนซอร์ส คลาวด์ และคอนเทนเนอร์

การทำซ้ำครั้งที่ 12 ของ Building Security In Maturity Model สะท้อนให้เห็นถึง ransomware ที่มีชื่อเสียงและการหยุดชะงักของห่วงโซ่อุปทานของซอฟต์แวร์ซึ่งกระตุ้นให้เกิดความสนใจเพิ่มขึ้นในความปลอดภัยของซอฟต์แวร์

สิงคโปร์, @mcgallen #microwireข้อมูล 29 กันยายน 2021 - Synopsys, Inc. (Nasdaq: SNPS) เผยแพร่ในวันนี้ BSIMM12เวอร์ชันล่าสุดของไฟล์ การสร้างความปลอดภัยในรูปแบบความสมบูรณ์ (BSIMM) รายงาน ซึ่งสร้างขึ้นเพื่อช่วยองค์กรในการวางแผน ดำเนินการ วัดผล และปรับปรุงความคิดริเริ่มด้านความปลอดภัยของซอฟต์แวร์ BSIMM12 สะท้อนแนวปฏิบัติด้านความปลอดภัยของซอฟต์แวร์ที่สังเกตได้จากบริษัท 128 แห่งจากหลากหลายอุตสาหกรรม รวมถึงบริการทางการเงิน FinTech ผู้จำหน่ายซอฟต์แวร์อิสระ คลาวด์ การดูแลสุขภาพ และอินเทอร์เน็ตของสรรพสิ่ง BSIMM12 อธิบายการทำงานของสมาชิกกลุ่มรักษาความปลอดภัยซอฟต์แวร์เกือบ 3,000 รายและสมาชิกดาวเทียมกว่า 6,000 ราย องค์กรทั่วโลกใช้ BSIMM เป็นเครื่องมือวัดเพื่อเปรียบเทียบและเปรียบเทียบความคิดริเริ่มของตนเองกับข้อมูลจากชุมชน BSIMM ในวงกว้าง

ข้อมูล BSIMM12 บ่งชี้ว่าการระบุกลุ่มความปลอดภัยของซอฟต์แวร์และการจัดการโอเพ่นซอร์สเพิ่มขึ้น 61% ในช่วงสองปีที่ผ่านมา เกือบจะแน่นอนเนื่องจากความชุกของส่วนประกอบโอเพนซอร์สในซอฟต์แวร์สมัยใหม่ และการเพิ่มขึ้นของการโจมตีโดยใช้โปรเจ็กต์โอเพ่นซอร์สยอดนิยมเป็นเวกเตอร์

การเติบโตของกิจกรรมที่เกี่ยวข้องกับแพลตฟอร์มคลาวด์และเทคโนโลยีคอนเทนเนอร์แสดงให้เห็นถึงผลกระทบอย่างมากที่เทคโนโลยีเหล่านี้มีต่อวิธีที่องค์กรใช้และรักษาความปลอดภัยซอฟต์แวร์ ตัวอย่างเช่น การสังเกต "การใช้การประสานสำหรับคอนเทนเนอร์และสภาพแวดล้อมเสมือนจริง" เพิ่มขึ้น 560% ในช่วงสองปีที่ผ่านมา

“ในช่วง 18 เดือนที่ผ่านมา องค์กรต่างๆ ประสบกับความรวดเร็วในการริเริ่มการเปลี่ยนแปลงทางดิจิทัลอย่างมาก ส่งผลให้มีการใช้แนวทางที่กำหนดโดยซอฟต์แวร์มากขึ้นในการปรับใช้และจัดการสภาพแวดล้อมซอฟต์แวร์และสแต็คเทคโนโลยีคลาวด์” Mike Ware หัวหน้าด้านความปลอดภัยของข้อมูลของ Navy Federal Credit Union ซึ่งเป็นองค์กรสมาชิกของชุมชน BSIMM กล่าว “ด้วยความซับซ้อนและความเร็วของการเปลี่ยนแปลงเหล่านี้ ทีมรักษาความปลอดภัยไม่เคยมีเครื่องมือสำคัญสำหรับพวกเขาที่จะเข้าใจว่าพวกเขายืนอยู่ตรงไหนและมีข้อมูลอ้างอิงว่าควรเปลี่ยนที่ใดต่อไป BSIMM เป็นเครื่องมือในการจัดการเพื่อวัตถุประสงค์ดังกล่าว BSIMM นำเสนอเลนส์ที่ไม่เหมือนใครในวิธีที่องค์กรต่างๆ ปรับเปลี่ยนกลยุทธ์สำหรับการใช้คุณลักษณะด้านความปลอดภัยที่กำหนดโดยซอฟต์แวร์ เช่น นโยบายเป็นโค้ด เพื่อให้สอดคล้องกับหลักการและแนวทางปฏิบัติของการพัฒนาซอฟต์แวร์สมัยใหม่”

“การศึกษา BSIMM ช่วยให้องค์กรต่างๆ สามารถเปรียบเทียบแนวทางปฏิบัติด้านความปลอดภัยในปัจจุบัน เพื่อที่พวกเขาจะได้กำหนดลำดับความสำคัญและรักษามุมมองในการตอบสนองต่อแนวโน้มที่เกิดขึ้นใหม่ในแนวการรักษาความปลอดภัย” Mathieu Chevalier หัวหน้าสถาปนิกด้านความปลอดภัยของ Genetec Inc. ซึ่งเป็นองค์กรสมาชิกของ ชุมชน BSIMM “แบบจำลองเชิงพรรณนาของ BSIMM ช่วยให้องค์กรต่างๆ สามารถกำหนดวิธีเริ่มต้นสร้างความคิดริเริ่มด้านความปลอดภัยของซอฟต์แวร์และทำให้มันเติบโตอย่างมีประสิทธิผล การสังเกตของ BSIMM12 เกี่ยวกับรูปแบบความรับผิดชอบร่วมกันโดยเฉพาะอย่างยิ่งควรส่งเสริมให้ผู้นำด้านความปลอดภัยพิจารณาว่าพวกเขากำลังพัฒนาอย่างไรเพื่อตอบสนองและลดช่องว่างที่อาจเกิดขึ้นในกลยุทธ์ด้านความปลอดภัยของพวกเขา”

“การศึกษา BSIMM มีความสอดคล้องกันมากในแง่ของการเข้าถึงแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม สามารถใช้เพื่อทำความเข้าใจระดับวุฒิภาวะในกิจกรรมความปลอดภัยด้านการพัฒนาที่หลากหลายตามที่สังเกตได้จากทีมพัฒนาหลายๆ ทีม” Todd Wiedman, CISO ของ Landis+Gyr ซึ่งเป็นองค์กรสมาชิกของชุมชน BSIMM กล่าว “ด้วยแนวทางการพัฒนาซอฟต์แวร์ที่เร่งตัวขึ้นอย่างรวดเร็ว ข้อมูล BSIMM12 แสดงให้เห็นถึงการเปลี่ยนแปลงที่เกิดขึ้นจริงในโปรแกรมการพัฒนาความปลอดภัย ด้วยข้อมูลนี้ องค์กรสามารถปรับกลยุทธ์ของตนเองเพื่อปกป้ององค์กรและลูกค้าโดยไม่กระทบต่อนวัตกรรม”

"ในฐานะที่เป็นส่วนหนึ่งของโปรแกรมความปลอดภัยของผลิตภัณฑ์และข้อมูล เราใช้เฟรมเวิร์ก BSIMM เพื่อช่วยเราในการขับเคลื่อนกลยุทธ์ด้านความปลอดภัยของเรา" Vinod Raghavan ผู้อำนวยการโครงการความปลอดภัยของผลิตภัณฑ์และข้อมูลของ Finastra ซึ่งเป็นองค์กรสมาชิกของชุมชน BSIMM กล่าว “มันเป็นเครื่องมือที่ช่วยเราในการเปรียบเทียบกับองค์กรอื่นๆ ทั้งในด้านบริการทางการเงินและอุตสาหกรรมอื่นๆ ซึ่งสนับสนุนความสมบูรณ์ของการรักษาความปลอดภัย”

แนวโน้มที่เกิดขึ้นใหม่ใน BSIMM12

  • แรนซัมแวร์ระดับสูงและการหยุดชะงักของห่วงโซ่อุปทานของซอฟต์แวร์กำลังเพิ่มความสนใจในความปลอดภัยของซอฟต์แวร์ ในช่วงสองปีที่ผ่านมา ข้อมูล BSIMM แสดงให้เห็นว่ากิจกรรม "ระบุโอเพนซอร์ส" เพิ่มขึ้น 61% และกิจกรรม "สร้าง SLA ต้นแบบ" เพิ่มขึ้น 57% ระหว่างองค์กรที่เข้าร่วม
  • ธุรกิจกำลังเรียนรู้วิธีแปลความเสี่ยงเป็นตัวเลข องค์กรต่างๆ พยายามมากขึ้นในการรวบรวมและเผยแพร่ข้อมูลความคิดริเริ่มด้านความปลอดภัยของซอฟต์แวร์ ซึ่งแสดงให้เห็นโดยกิจกรรม "เผยแพร่ข้อมูลเกี่ยวกับความปลอดภัยของซอฟต์แวร์ภายใน" ที่เพิ่มขึ้น 30% ในช่วง 24 เดือนที่ผ่านมา
  • ความสามารถที่เพิ่มขึ้นสำหรับการรักษาความปลอดภัยบนคลาวด์ ความสนใจของผู้บริหารที่เพิ่มขึ้น ซึ่งอาจรวมกับความพยายามที่ขับเคลื่อนด้วยวิศวกรรม ส่งผลให้องค์กรพัฒนาความสามารถของตนเองในการจัดการความปลอดภัยบนคลาวด์และประเมินรูปแบบความรับผิดชอบร่วมกัน มีการสังเกตการณ์ใหม่โดยเฉลี่ย 36 ครั้งในช่วงสองปีที่ผ่านมาจากกิจกรรมต่างๆ ที่เกี่ยวข้องกับความปลอดภัยบนคลาวด์
  • ทีมรักษาความปลอดภัยให้ทรัพยากร พนักงาน และความรู้แก่แนวทางปฏิบัติของ DevOpsข้อมูล BSIMM แสดงให้เห็นการเปลี่ยนแปลงโดยกลุ่มความปลอดภัยของซอฟต์แวร์ จากการบังคับพฤติกรรมการรักษาความปลอดภัยซอฟต์แวร์และไปสู่บทบาทหุ้นส่วน—การจัดหาทรัพยากร พนักงาน และความรู้ให้กับแนวทางปฏิบัติของ DevOps โดยมีวัตถุประสงค์เพื่อรวมความพยายามด้านความปลอดภัยในเส้นทางที่สำคัญสำหรับการส่งมอบซอฟต์แวร์
  • กิจกรรมรายการวัสดุซอฟต์แวร์เพิ่มขึ้น 367% ข้อมูล BSIMM แสดงให้เห็นถึงความสามารถที่เพิ่มขึ้นซึ่งมุ่งเน้นไปที่ซอฟต์แวร์สินค้าคงคลัง การสร้างซอฟต์แวร์ Bill of Materials (BOM); ทำความเข้าใจว่าซอฟต์แวร์ถูกสร้าง กำหนดค่า และใช้งานอย่างไร และเพิ่มความสามารถขององค์กรในการปรับใช้ใหม่โดยอิงตามระบบความปลอดภัยทางไกล แสดงให้เห็นว่าหลายองค์กรให้ความสำคัญกับความต้องการซอฟต์แวร์ BOM ที่ครอบคลุมและเป็นปัจจุบัน กิจกรรม BSIMM ที่เกี่ยวข้องกับความสามารถเหล่านั้น ("ปรับปรุงสินค้าคงคลังของแอปพลิเคชันด้วยการดำเนินงานรายการวัสดุ") เพิ่มขึ้นจากการสังเกต 3 เป็น 14 ครั้งในช่วงที่ผ่านมา สองปี—เพิ่มขึ้น 367%
  • “Shift left” เลื่อนไปเป็น “shiftทุกที่” แนวคิดของ "shift left" มุ่งเน้นไปที่การย้ายการทดสอบความปลอดภัยก่อนหน้านี้ในกระบวนการพัฒนา “เปลี่ยนทุกที่” ขยายแนวคิดในการทำการทดสอบความปลอดภัยอย่างต่อเนื่องตลอดวงจรชีวิตของซอฟต์แวร์ รวมถึงการทดสอบความปลอดภัยที่ขับเคลื่อนด้วยไปป์ไลน์ที่มีขนาดเล็กลง เร็วขึ้น ซึ่งดำเนินการในโอกาสแรกสุด ซึ่งอาจอยู่ระหว่างการออกแบบหรือแม้กระทั่งตลอดทางในการผลิต

การย้ายออกจากการรักษาสินค้าคงคลังในการดำเนินงานแบบเดิมและไปสู่การค้นหาสินทรัพย์อัตโนมัติและการสร้างรายการวัสดุนั้นรวมถึงการเพิ่มกิจกรรม "เปลี่ยนทุกที่" เช่น การใช้คอนเทนเนอร์เพื่อบังคับใช้การควบคุมความปลอดภัย การประสานกัน และการสแกนโครงสร้างพื้นฐานเป็นโค้ด อัตราการสังเกตกิจกรรม BSIMM ที่เพิ่มขึ้น เช่น "ปรับปรุงสินค้าคงคลังของแอปพลิเคชันด้วยการดำเนินการ Bill of Materials" "ใช้การประสานกันสำหรับคอนเทนเนอร์และสภาพแวดล้อมเสมือนจริง" และ "ตรวจสอบการสร้างสินทรัพย์อัตโนมัติ" ล้วนแสดงให้เห็นถึงแนวโน้มนี้

Jason Schmitt ผู้จัดการทั่วไปของ Synopsys Software Integrity Group กล่าวว่า "ตั้งแต่ปี 2008 ผู้เชี่ยวชาญด้านการให้คำปรึกษา การวิจัย และข้อมูลของ BSIMM ได้รวบรวมข้อมูลในเส้นทางต่างๆ ที่องค์กรดำเนินการเพื่อจัดการกับความท้าทายในการรักษาความปลอดภัยซอฟต์แวร์" “ด้วยอายุเฉลี่ย 4.4 ปี ความคิดริเริ่มด้านความปลอดภัยของซอฟต์แวร์ขององค์กรที่เข้าร่วม BSIMM สะท้อนให้เห็นว่าองค์กรกำลังปรับแนวทางของตนเพื่อจัดการกับพลวัตใหม่ของการพัฒนาและการใช้งานที่ทันสมัย ด้วยข้อมูลนี้ องค์กรจึงสามารถปรับกลยุทธ์ของตนเองเพื่อปกป้ององค์กรและลูกค้าโดยไม่กระทบต่อนวัตกรรม”

หากต้องการเรียนรู้เพิ่มเติม ดาวน์โหลด BSIMM12 ข้อมูลเชิงลึกและแนวโน้ม. สำหรับการอภิปรายเชิงโต้ตอบของการค้นพบที่สำคัญใน BSIMM12 ลงทะเบียนสำหรับการสัมมนาผ่านเว็บ 21 ตุลาคมของเรา.

กิตติกรรมประกาศ

Sammy Migues นักวิทยาศาสตร์หลักของ Synopsys, Eli Erlikhman ผู้จัดการใหญ่ที่ Synopsys, Jacob Ewers ที่ปรึกษาด้านความปลอดภัยหลักของ Synopsys และ Kevin Nassery ผู้อำนวยการด้านความปลอดภัยของแอปพลิเคชันที่ Gemini ได้เขียน BSIMM12 หลังจากวิเคราะห์ข้อมูลที่รวบรวมมาเป็นเวลาเกือบ 13 ปีของการวิจัยด้านความปลอดภัยของซอฟต์แวร์ บริษัทบางแห่งที่เข้าร่วมในการศึกษา BSIMM ได้แก่ AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, ที่ปรึกษา eMoney, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+ Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, แพลตฟอร์ม NEC, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media

เกี่ยวกับ BSIMM

Building Security In Maturity Model (BSIMM) เริ่มต้นในปี 2008 เป็นเครื่องมือสำหรับสร้างวัดและประเมินโครงการด้านความปลอดภัยของซอฟต์แวร์ แบบจำลองข้อมูลและเครื่องมือการวัดที่พัฒนาขึ้นโดยการศึกษาและวิเคราะห์อย่างรอบคอบของโครงการริเริ่มด้านความปลอดภัยซอฟต์แวร์กว่า 200 โครงการ BSIMM11 ประกอบด้วยข้อมูลปัจจุบันในโลกแห่งความเป็นจริงจาก 128 องค์กร BSIMM เป็นมาตรฐานแบบเปิดที่มีกรอบตามแนวปฏิบัติด้านความปลอดภัยของซอฟต์แวร์ซึ่งองค์กรสามารถใช้เพื่อประเมินและพัฒนาความพยายามของตนเองในด้านความปลอดภัยของซอฟต์แวร์ ดูข้อมูลเพิ่มเติมได้ที่ www.bsimm.com.

เกี่ยวกับ Synopsys Software Integrity Group

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys

Synopsys, Inc. (Nasdaq: SNPS) เป็นหุ้นส่วนของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท S&P 500 Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติ (EDA) และเซมิคอนดักเตอร์ IP และนำเสนอเครื่องมือและบริการทดสอบความปลอดภัยของแอปพลิเคชันที่กว้างขวางที่สุดในอุตสาหกรรม ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์ที่เขียนโค้ดคุณภาพสูงที่ปลอดภัยยิ่งขึ้น Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่เป็นนวัตกรรมใหม่ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #