โพสต์

บทสรุปของบรรณาธิการ: หากคุณใช้ DevOps ในองค์กรของคุณสิ่งที่จำเป็นคือเพื่อให้แน่ใจว่าทั้งคุณภาพของซอฟต์แวร์และความปลอดภัยในเวลาเดียวกันโดยเฉพาะอย่างยิ่งกับโลกปัจจุบันของผู้คุกคามที่บุกรุกเข้าไปในทุกโหนดซอฟต์แวร์หรือระบบ BSIMM (Building Security In Maturity Model) ฉบับที่ 11 หรือ BSIMM11 สะท้อนถึงลักษณะภูมิประเทศของ บริษัท 130 แห่งจากอุตสาหกรรมต่างๆเช่นบริการทางการเงินฟินเทค ISV ระบบคลาวด์การดูแลสุขภาพ IoT และการค้าปลีก ข่าวประชาสัมพันธ์ของผู้จำหน่ายอยู่ด้านล่าง

Synopsys เผยแพร่การศึกษา BSIMM11 ซึ่งเน้นการเปลี่ยนแปลงพื้นฐานในโครงการริเริ่มด้านความปลอดภัยของซอฟต์แวร์เพื่อตอบสนองต่อ DevOps และการแปลงดิจิทัล

em> การทำซ้ำครั้งที่ 11 ของ Building Security In Maturity Model สะท้อนให้เห็นว่าองค์กรต่างๆปรับใช้ความพยายามด้านความปลอดภัยของซอฟต์แวร์เพื่อสนับสนุนกระบวนทัศน์การพัฒนาซอฟต์แวร์สมัยใหม่อย่างไร

สิงคโปร์, @mcgallen #microwireข้อมูล 16 ก.ย. 2020-Synopsys, Inc. (Nasdaq: SNPS) เผยแพร่ในวันนี้ BSIMM11เวอร์ชันล่าสุดของไฟล์ การสร้างความปลอดภัยในรูปแบบความสมบูรณ์ (BSIMM)สร้างขึ้นเพื่อช่วยให้องค์กรวางแผนดำเนินการวัดผลและปรับปรุงโครงการริเริ่มด้านความปลอดภัยของซอฟต์แวร์ (SSIs) BSIMM11 สะท้อนให้เห็นถึงแนวทางปฏิบัติด้านความปลอดภัยของซอฟต์แวร์ที่พบใน บริษัท 130 แห่งจากกลุ่มธุรกิจต่างๆเช่นบริการทางการเงินฟินเทคผู้จำหน่ายซอฟต์แวร์อิสระระบบคลาวด์การดูแลสุขภาพ Internet of Things การประกันภัยและการค้าปลีก BSIMM11 อธิบายถึงการทำงานของผู้เชี่ยวชาญด้านความปลอดภัยซอฟต์แวร์ 8,457 คนซึ่งเป็นแนวทางในความพยายามของนักพัฒนากว่า 490,000 คน

องค์กรต่างๆใช้ BSIMM เป็นเครื่องมือวัดเพื่อเปรียบเทียบและเปรียบเทียบความคิดริเริ่มของตนเองกับข้อมูลจากชุมชน BSIMM ในวงกว้าง BSIMM11 แสดงให้เห็นว่าหลายองค์กรกำลังปรับความพยายามด้านความปลอดภัยของซอฟต์แวร์เพื่อรองรับการเปลี่ยนแปลงทางดิจิทัลและกระบวนทัศน์การพัฒนาซอฟต์แวร์สมัยใหม่เช่น DevOps

“ BSIMM เป็นแหล่งข้อมูลที่ยอดเยี่ยมสำหรับผู้นำด้านความปลอดภัยที่สนใจเรียนรู้จากประสบการณ์ร่วมกันของเพื่อนร่วมงานโดยเฉพาะอย่างยิ่งเพื่อแก้ปัญหาความท้าทายใหม่ ๆ หรือที่กำลังเกิดขึ้น” ไมค์แรกเกิดCISO ของ Navy Federal Credit Union ซึ่งเป็นองค์กรสมาชิกของชุมชน BSIMM “ ทุกวันนี้องค์กรส่วนใหญ่ต้องเผชิญกับความท้าทายในการสร้างกลุ่มแอพพลิเคชั่นที่เพิ่มขึ้นเรื่อย ๆ ท่ามกลางการพัฒนาอย่างรวดเร็วและการเร่งการพัฒนาซอฟต์แวร์ BSIMM11 สะท้อนให้เห็นถึงจำนวนองค์กรเหล่านี้ที่ปรับกลยุทธ์การรักษาความปลอดภัยซอฟต์แวร์เพื่อปกป้องตนเองและลูกค้าโดยไม่ขัดขวางนวัตกรรมหรือขัดขวางความเร็วในการพัฒนา”

แนวโน้มที่เกิดขึ้นใหม่ใน BSIMM11

  • ความพยายามในการรักษาความปลอดภัยซอฟต์แวร์ที่นำโดยวิศวกรรมประสบความสำเร็จในการสนับสนุนสตรีมค่า DevOps ในการแสวงหาความยืดหยุ่น BSIMM11 แสดงให้เห็นว่าเครื่องมือวัด CI / CD และการควบคุมการดำเนินงานได้กลายเป็นองค์ประกอบมาตรฐานของโครงการริเริ่มด้านความปลอดภัยซอฟต์แวร์ของหลายองค์กรและมีอิทธิพลต่อวิธีการจัดระเบียบออกแบบและดำเนินการ ตัวอย่างเช่นทีมรักษาความปลอดภัยซอฟต์แวร์รายงานกลุ่มเทคโนโลยีหรือ CTO มากขึ้นเรื่อย ๆ (เมื่อเทียบกับทีมรักษาความปลอดภัยไอทีหรือ CISO) และกำลังเปลี่ยนแปลงวิธีการสรรหาและจัดระเบียบบุคลากรภายใน
  • การกำกับดูแลความปลอดภัยที่กำหนดโดยซอฟต์แวร์ไม่ได้เป็นเพียงแรงบันดาลใจอีกต่อไป องค์กรต่างๆกำลังแทนที่กิจกรรมการรักษาความปลอดภัยนอกแบนด์ที่มีแรงเสียดทานสูงด้วยกิจกรรมอัตโนมัติที่เกิดขึ้นจากเหตุการณ์ในการดำเนินการไปป์ไลน์ CI / CD การแปลงกระบวนการของมนุษย์และการตัดสินใจเป็นอัลกอริทึมเป็นวิธีหนึ่งที่องค์กรต่างๆกำลังแก้ไขข้อ จำกัด ด้านทรัพยากรและปัญหาการจัดการจังหวะมากขึ้น 
  • “ Shift left” กลายเป็น“ Shift ทุกที่” การนำแนวคิด“ เลื่อนไปทางซ้าย” ได้พัฒนามาจากการตีความตามตัวอักษรของการทดสอบความปลอดภัยบางอย่างในช่วงก่อนหน้าของวงจรการพัฒนาไปจนถึงการดำเนินกิจกรรมด้านความปลอดภัยทันทีที่มีการตรวจสอบสิ่งประดิษฐ์ นั่นอาจหมายถึงทางด้านซ้ายของสถานที่ที่มีการดำเนินกิจกรรมในอดีต แต่บ่อยครั้งทางด้านขวารวมถึงในการผลิตด้วย
  • การนำ FinTech แนวดิ่งสู่กลุ่มข้อมูล BSIMM จากการตรวจสอบกลุ่มข้อมูลที่เพิ่มขึ้นอย่างรอบคอบของ บริษัท ในกลุ่มธุรกิจทางการเงินพบว่ามีความจำเป็นที่จะต้องเพิ่มประเภทธุรกิจแยกต่างหากสำหรับ บริษัท ที่มี ISV ที่มีประสิทธิภาพโดยเฉพาะสำหรับซอฟต์แวร์บริการทางการเงิน

“ วิธีการสร้างและปรับใช้ซอฟต์แวร์สมัยใหม่ได้เปลี่ยนไปอย่างมากในช่วงไม่กี่ปีที่ผ่านมาดังนั้นโดยธรรมชาติแล้วความพยายามที่จำเป็นในการรักษาความปลอดภัยซอฟต์แวร์นั้นก็เปลี่ยนไปเช่นกัน” Michael Ware ผู้เขียนร่วม BSIMM และผู้อำนวยการอาวุโสฝ่ายเทคโนโลยีของ Synopsys กล่าว “ ธุรกิจต่างๆต้องพึ่งพาซอฟต์แวร์เป็นอย่างมากและวิธีการที่ทันสมัยได้เร่งความเร็วในการพัฒนา ด้วยเหตุนี้จึงมีซอฟต์แวร์เพิ่มขึ้นทุกที่และเรายังคงต้องกังวลเกี่ยวกับซอฟต์แวร์ที่มีอยู่แล้วทั้งหมด ในฐานะที่เป็นโมเดลที่พัฒนาอย่างต่อเนื่องเพื่อแสดงถึงแนวทางปฏิบัติที่แท้จริงในการใช้งานของกลุ่มความปลอดภัยซอฟต์แวร์หลายร้อยแห่งทั่วโลกรวมถึงทีมที่ทันสมัยที่สุดในโลก BSIMM ให้มุมมองแบบเรียลไทม์ว่าการเปลี่ยนแปลงเหล่านี้เป็นอย่างไร ดำเนินการเพื่อปกป้องพอร์ตการลงทุนซอฟต์แวร์ที่กำลังเติบโต”

กิจกรรมใหม่ใน BSIMM แสดงถึงการเปลี่ยนแปลงไปสู่ ​​DevSecOps

กิจกรรมสามอย่างที่เพิ่มเข้ามาใน BSIMM10 มีการเติบโตอย่างโดดเด่นภายในปีที่ผ่านมา (SM3.4 บูรณาการการกำกับดูแลวงจรชีวิตที่กำหนดโดยซอฟต์แวร์, AM3.3 ตรวจสอบการสร้างสินทรัพย์อัตโนมัติ, CMVM3.5 การตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานการดำเนินงานโดยอัตโนมัติ) สิ่งนี้สะท้อนให้เห็นว่าองค์กรบางแห่งทำงานอย่างแข็งขันเพื่อเร่งความพยายามด้านความปลอดภัยของซอฟต์แวร์เพื่อให้สอดคล้องกับการส่งมอบซอฟต์แวร์ นอกจากนี้กิจกรรมทั้งสองที่เพิ่มเข้ามาใน BSIMM11 ยังแสดงถึงความต่อเนื่องของแนวโน้มดังกล่าว (ST3.6 การดำเนินการทดสอบความปลอดภัยที่ขับเคลื่อนด้วยเหตุการณ์ CMVM3.6 การเผยแพร่ข้อมูลความเสี่ยงสำหรับสิ่งประดิษฐ์ที่ปรับใช้ได้)

BSIMM ในอุตสาหกรรมต่างๆ

BSIMM ให้ข้อมูลเชิงลึกที่ไม่เหมือนใครซึ่งขับเคลื่อนด้วยข้อมูลเพื่อทำความเข้าใจและเปรียบเทียบจุดแข็งและจุดอ่อนที่สัมพันธ์กันของโครงการริเริ่มด้านความปลอดภัยของซอฟต์แวร์ในหลากหลายอุตสาหกรรม Cloud, Internet of Things และ บริษัท เทคโนโลยีชั้นสูงเป็นกลุ่มธุรกิจที่เติบโตเต็มที่ที่สุดสามกลุ่มในกลุ่มข้อมูล BSIMM11 BSIMM11 ยังเน้นถึงความแตกต่างระหว่างอุตสาหกรรมที่มีการควบคุมสูงสามประเภท ได้แก่ บริการทางการเงินการดูแลสุขภาพและการประกันภัย อุตสาหกรรมบริการทางการเงินซึ่งมีกลุ่มการรักษาความปลอดภัยของซอฟต์แวร์ก่อนหน้านี้กว่าอุตสาหกรรมอื่น ๆ ถูกมองว่ามีแนวทางปฏิบัติที่เป็นผู้ใหญ่มากกว่าเมื่อเทียบกับคู่ค้าในด้านการดูแลสุขภาพและการประกันภัย เป็นครั้งแรกที่ BSIMM นำเสนอข้อมูลเกี่ยวกับประเภทธุรกิจ FinTech และพบว่ามีการติดตามอย่างใกล้ชิดกับบริการทางการเงินโดยมีเดลต้าหลัก (สนับสนุน FinTech) ที่เกิดขึ้นในการฝึกอบรมการทดสอบความปลอดภัยและแนวทางปฏิบัติในการตรวจสอบโค้ด

อ่าน BSIMM11 ไดเจสต์ หรือดาวน์โหลดไฟล์ การศึกษา BSIMM11.

สำหรับการสนทนาสดเกี่ยวกับการค้นพบที่สำคัญใน BSIMM11 ลงทะเบียนสำหรับการสัมมนาผ่านเว็บวันที่ 15 ตุลาคมของเรา BSIMM11: วิวัฒนาการของ DevSecOps

กิตติกรรมประกาศ

Sammy Migues นักวิทยาศาสตร์หลักของ Synopsys, Michael Ware ผู้อำนวยการอาวุโสฝ่ายเทคโนโลยีของ Synopsys และ John Steven ผู้ก่อตั้ง บริษัท Aedify Security ได้ประพันธ์ BSIMM11 หลังจากวิเคราะห์ข้อมูลที่รวบรวมมาเป็นเวลาเกือบ 12 ปีของการวิจัยด้านความปลอดภัยของซอฟต์แวร์ บาง บริษัท ที่เข้าร่วมในการศึกษา BSIMM ได้แก่ Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co. , Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, แพลตฟอร์ม NEC, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, กลุ่มการเงินหลัก , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo และ Zendesk

เกี่ยวกับ BSIMM

Building Security In Maturity Model (BSIMM) เริ่มต้นในปี 2008 เป็นเครื่องมือสำหรับสร้างวัดและประเมินโครงการด้านความปลอดภัยของซอฟต์แวร์ แบบจำลองข้อมูลและเครื่องมือการวัดที่พัฒนาขึ้นโดยการศึกษาและวิเคราะห์อย่างรอบคอบของโครงการริเริ่มด้านความปลอดภัยซอฟต์แวร์กว่า 200 โครงการ BSIMM11 ประกอบด้วยข้อมูลปัจจุบันในโลกแห่งความเป็นจริงจาก 130 องค์กร BSIMM เป็นมาตรฐานแบบเปิดที่มีกรอบตามแนวปฏิบัติด้านความปลอดภัยของซอฟต์แวร์ซึ่งองค์กรสามารถใช้เพื่อประเมินและพัฒนาความพยายามของตนเองในด้านความปลอดภัยของซอฟต์แวร์ ดูข้อมูลเพิ่มเติมได้ที่ www.bsimm.com.

เกี่ยวกับ Synopsys Software Integrity Group

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys

Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #