Naka-post sa

Maikling editor: Ang isa sa tagapagtatag na ama ng Amerika at polymath, si Benjamin Franklin, ay nagsabi minsan, "sabihin mo sa akin at nakakalimutan ko, turuan mo ako at maaari kong matandaan, ngunit isama ako at malaman ko". Gayundin, sa unting kumplikadong mundo ng DevOps at cybersecurity, kung saan napakalawak ng umuusbong at patuloy na pagbabanta, ang "shift left" na tularan ng pagdidisenyo ng software nang tama at ligtas mula sa simula ay may perpektong kahulugan. Ano kung gayon, maaari ba tayong matuto at mag-ampon mula sa pinakamahuhusay na kasanayan ng 128 mga organisasyong nasa ilaw, sa anyo ng BSIMM12 (Building Security in Maturity Model), ngayon na tumatakbo sa ika-12 edisyon? Nasa ibaba ang paglabas ng vendor.

Nag-publish ang Synopsys ng BSIMM12 Pag-highlight ng Pag-aaral ng Kapansin-pansin na Paglago sa Open Source, Cloud, at Mga Pagsisikap sa Seguridad ng Container

Ang ika-12 pag-ulit ng Building Security In Maturity Model ay sumasalamin sa high-profile ransomware at mga pagkagambala sa kadena ng supply ng software na humimok ng mas mataas na pansin sa seguridad ng software.

SINGAPORE, @mcgallen #microwireimpormasyon, Setyembre 29, 2021 - Synopsys, Inc. (Nasdaq: SNPS) na-publish ngayon BSIMM12, ang pinakabagong bersyon ng Building Security In Maturity Model (BSIMM) ulat, nilikha upang matulungan ang mga organisasyon na magplano, magpatupad, magsukat, at mapabuti ang kanilang mga pagkukusa sa seguridad ng software. Sinasalamin ng BSIMM12 ang mga kasanayan sa seguridad ng software na sinusunod sa 128 mga kumpanya mula sa maraming mga patayong industriya kabilang ang mga serbisyong pampinansyal, FinTech, mga independiyenteng vendor ng software, cloud, healthcare, at Internet of Things. Inilalarawan ng BSIMM12 ang gawain ng halos 3,000 mga kasapi sa pangkat ng seguridad ng software at higit sa 6,000 mga kasapi ng satellite. Ang BSIMM ay ginagamit ng mga samahan sa buong mundo bilang isang pagsukat stick upang ihambing at ihambing ang kanilang sariling mga pagkukusa sa data mula sa mas malawak na pamayanan ng BSIMM.

Ang data ng BSIMM12 ay nagpapahiwatig ng isang 61% na pagtaas sa pagkakakilanlan at pamamahala ng mga pangkat ng seguridad ng software ng bukas na mapagkukunan sa nakaraang dalawang taon, halos tiyak na dahil sa pagkalat ng mga bukas na sangkap ng mapagkukunan sa modernong software at ang pagtaas ng mga pag-atake gamit ang mga tanyag na proyekto ng open source bilang mga vector.

Ang paglaki ng mga aktibidad na nauugnay sa mga cloud platform at mga teknolohiya ng lalagyan ay nagpapakita ng dramatikong epekto sa mga teknolohiyang ito sa kung paano ginagamit at ligtas ng mga organisasyon ang software. Halimbawa, ang mga obserbasyon ng "paggamit ng orkestra para sa mga lalagyan at virtualised na kapaligiran" ay tumaas ng 560% sa nakaraang dalawang taon.

"Sa huling 18 buwan, nakaranas ang mga organisasyon ng napakalaking pagbilis ng mga pagkukusa sa digital na pagbabago. Nagresulta ito sa mas mataas na pag-aampon ng mga diskarte na tinukoy ng software para sa pag-deploy at pamamahala sa mga kapaligiran ng software at cloud technology stack, "sabi ni Mike Ware, Information Security Principal sa Navy Federal Credit Union, isang miyembro ng samahan ng pamayanan ng BSIMM. "Dahil sa pagiging kumplikado at bilis ng mga pagbabagong ito, hindi kailanman naging mas mahalaga para sa mga pangkat ng seguridad na magkaroon ng mga tool na nagpapahintulot sa kanila na maunawaan kung saan sila tumayo at magkaroon ng isang sanggunian para sa kung saan dapat silang susunod na pivot. Ang BSIMM ay isang tool sa pamamahala para sa paghahatid ng gayong layunin. Ang BSIMM ay nagbibigay ng isang natatanging lens sa kung paano binabago ng mga organisasyon ang mga diskarte para sa pagpapatupad ng mga tampok na seguridad na tinukoy ng software tulad ng patakaran bilang code upang umayon sa modernong mga prinsipyo at kasanayan sa pag-unlad ng software. "

"Pinapayagan ng pag-aaral ng BSIMM ang mga samahan na i-benchmark ang kanilang kasalukuyang mga kasanayan sa seguridad upang maaari silang magtaguyod ng mga prayoridad at mapanatili ang pananaw bilang tugon sa umuusbong na kalakaran sa tanawin ng seguridad," sabi ni Mathieu Chevalier, Lead Security Architect, Genetec Inc., isang kasapi ng samahan ng Pamayanan ng BSIMM. "Ang naglalarawang modelo ng BSIMM ay tumutulong sa mga samahan na matukoy kung paano magsisimulang magtayo ng isang hakbangin sa seguridad ng software at mabisang epektibo ito. Ang mga obserbasyon ng BSIMM12 tungkol sa mga ibinahaging modelo ng responsibilidad ay dapat na hikayatin ang mga pinuno ng seguridad na isaalang-alang kung paano sila umuusbong upang matugunan at mabawasan ang anumang mga potensyal na puwang sa kanilang diskarte sa seguridad. "

"Ang pag-aaral ng BSIMM ay lubos na nakahanay sa mga tuntunin ng pag-access sa mga pinakamahusay na kasanayan sa industriya. Maaari itong magamit upang maunawaan ang antas ng pagkahinog sa iba't ibang mga aktibidad sa seguridad sa pag-unlad na sinusunod sa maraming mga koponan sa pag-unlad, "sinabi ni Todd Wiedman, CISO sa Landis + Gyr, isang miyembro ng samahan ng pamayanan ng BSIMM. "Sa mabilis na pagpapabilis ng mga kasanayan sa pag-unlad ng software, inilalarawan ng data ng BSIMM12 ang aktwal na mga paglilipat na nagaganap sa mga programang pagbuo ng seguridad. Sa impormasyong ito, maaaring iakma ng mga organisasyon ang kanilang sariling mga diskarte upang maprotektahan ang kanilang samahan at mga customer nang hindi pinapahina ang pagbabago. "

"Bilang bahagi ng aming Produkto at Data Security Program ginagamit namin ang balangkas ng BSIMM upang matulungan kaming maisulong ang aming diskarte sa seguridad," sabi ni Vinod Raghavan, Direktor, Produkto at Data Security Program sa Finastra, isang miyembro ng samahan ng pamayanan ng BSIMM. "Ito ay naging instrumento sa pagtulong sa amin na benchmark laban sa iba pang mga samahan sa parehong serbisyong pampinansyal at iba pang mga industriya, na sumusuporta sa kapanahunan ng seguridad."

Mga umuusbong na trend sa BSIMM12

  • Ang mga pagkagambala ng high-profile ransomware at software supply chain ay hinihimok ang mas mataas na pansin sa seguridad ng software. Sa nakaraang dalawang taon, ang data ng BSIMM ay nagpapakita ng isang 61% na pagtaas sa aktibidad na "kilalanin ang bukas na mapagkukunan" at isang 57% na pagtaas sa aktibidad na "lumikha ng SLA boilerplates" sa mga samahan ng mga kalahok.
  • Ang mga negosyo ay natututo kung paano isalin ang panganib sa mga numero. Ang mga samahan ay nagsusumikap ng higit na pagsisikap upang mangolekta at mai-publish ang kanilang data ng inisyatiba sa seguridad ng software, na ipinakita ng isang 30% na pagtaas ng aktibidad na "mag-publish ng data tungkol sa panloob na seguridad ng software" sa nakaraang 24 na buwan.
  • Nadagdagang mga kakayahan para sa seguridad ng cloud. Ang pagtaas ng pansin ng ehekutibo, malamang na sinamahan ng mga pagsisikap na hinihimok ng engineering, ay nagresulta din sa mga samahang bumuo ng kanilang sariling mga kakayahan para sa pamamahala ng cloud security at suriin ang kanilang ibinahaging mga modelo ng responsibilidad. Mayroong isang average ng 36 mga bagong obserbasyon sa nakaraang dalawang taon sa kabuuan ng mga aktibidad na karaniwang nauugnay sa seguridad ng ulap.
  • Ang mga pangkat ng seguridad ay nagpapahiram ng mga mapagkukunan, kawani, at kaalaman sa mga kasanayan sa DevOps.Ipinapakita ng data ng BSIMM ang isang paglilipat ng mga pangkat ng seguridad ng software na malayo sa pag-uutos ng pag-uugali ng seguridad ng software at patungo sa papel na ginagampanan sa pakikipagsosyo — pagbibigay ng mga mapagkukunan, kawani, at kaalaman sa mga kasanayan sa DevOps na may layunin na isama ang mga pagsisikap sa seguridad sa kritikal na landas para sa paghahatid ng software.
  • Ang mga aktibidad ng Software Bill of Materials ay nadagdagan ng 367%. Ang data ng BSIMM ay nagpapakita ng pagtaas ng mga kakayahan na nakatuon sa pag-imbentaryo ng software; lumilikha ng isang software Bill of Materials (BOM); pag-unawa sa kung paano binuo, na-configure, at na-deploy ang software; at pagdaragdag ng kakayahan ng samahan na muling mai-deploy batay sa telemetry ng seguridad. Ipinapakita na maraming mga samahan ang naisip ang pangangailangan para sa isang komprehensibong, napapanahong software na BOM, ang aktibidad ng BSIMM na nauugnay sa mga kakayahang iyon ("pagbutihin ang imbentaryo ng aplikasyon kasama ang pagpapatakbo ng Bill of Materials") ay lumago mula 3 hanggang 14 na obserbasyon sa nakaraan dalawang taon — isang 367% na pagtaas.
  • Ang "Shift left" ay umuusbong sa "shift saan man." Ang konsepto ng "shift left" ay nakatuon sa paglipat ng pagsubok sa seguridad nang mas maaga sa proseso ng pag-unlad. Ang "paglilipat saanman" ay nagpapalawak ng ideya sa pagpapatuloy ng pagsubok sa seguridad sa buong buhay ng software, kabilang ang mas maliit, mas mabilis, mga pagsubok sa seguridad na hinihimok ng pipeline na isinagawa sa pinakamaagang pagkakataon, na maaaring sa panahon ng disenyo o kahit na sa buong produksyon.

Ang paglayo mula sa pagpapanatili ng tradisyunal na mga imbentaryo ng pagpapatakbo at patungo sa awtomatikong pagtuklas ng asset at pagsasama ng Mga Sining ng Materyal ay kasama ang pagdaragdag ng mga aktibidad na "shift saanman" tulad ng paggamit ng mga lalagyan upang ipatupad ang mga kontrol sa seguridad, orkestra, at pag-scan ng mga imprastraktura bilang code. Ang nadagdagang mga rate ng pagmamasid ng BSIMM ng mga aktibidad tulad ng "pagbutihin ang imbentaryo ng aplikasyon na may pagpapatakbo na Bill of Materials," "paggamit ng orkestra para sa mga lalagyan at virtualised na mga kapaligiran," at "subaybayan ang awtomatikong pagbuo ng asset" lahat ay nagpapakita ng kalakaran na ito.

"Mula noong 2008, ang mga eksperto sa pagkonsulta, pagsasaliksik, at data ng BSIMM ay nagtitipon ng data sa iba't ibang mga landas na tinahak ng mga organisasyon upang matugunan ang mga hamon sa pag-secure ng software," sabi ni Jason Schmitt, pangkalahatang tagapamahala ng Synopsys Software Integrity Group. "Sa isang average na edad na 4.4 taon, ang mga pagkukusa ng software ng mga kalahok na BSIMM ay sumasalamin kung paano binabago ng mga organisasyon ang kanilang mga diskarte upang matugunan ang bagong dynamics ng modernong pag-unlad at mga kasanayan sa pag-deploy. Gamit ang impormasyong ito, maaaring iakma ng mga organisasyon ang kanilang sariling mga diskarte upang maprotektahan ang kanilang samahan at mga customer nang hindi pinapahina ang pagbabago. "

Upang matuto nang higit pa, i-download ang Mga Pananaw at Trend ng BSIMM12. Para sa isang interactive na talakayan ng mga pangunahing natuklasan sa BSIMM12, magparehistro para sa aming Oktubre 21 na webinar.

Pagkilala

Si Sammy Migues, punong siyentista sa Synopsys, Eli Erlikhman, namamahala ng punong guro sa Synopsys, Jacob Ewers, punong consultant ng seguridad sa Synopsys, at Kevin Nassery, direktor ng seguridad ng aplikasyon sa Gemini ay sumulat ng BSIMM12 matapos ang pag-aralan ang data na nakolekta sa halos 13 taon ng pagsasaliksik sa seguridad ng software. Ang ilan sa mga kumpanyang kasali sa pag-aaral ng BSIMM ay kinabibilangan ng: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis + Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

Tungkol sa BSIMM

Nagsimula noong 2008, ang Building Security In Maturity Model (BSIMM) ay isang tool para sa paglikha, pagsukat, at pagsusuri ng mga pagkukusa sa seguridad ng software. Isang modelo na hinimok ng data at tool sa pagsukat na binuo sa pamamagitan ng maingat na pag-aaral at pagtatasa ng higit sa 200 mga pagkukusa sa seguridad ng software, kasama sa BSIMM11 ang kasalukuyang data ng real-world mula sa 128 mga samahan. Ang BSIMM ay isang bukas na pamantayan na nagsasama ng isang balangkas batay sa mga kasanayan sa seguridad ng software, kung saan maaaring magamit ng isang samahan upang masuri at pahinugin ang sarili nitong mga pagsisikap sa seguridad ng software. Para sa karagdagang impormasyon, bisitahin www.bsimm.com.

Tungkol sa Synopsys Software Integrity Group

Tinutulungan ng Synopsys Software Integrity Group ang mga koponan sa pag-unlad na bumuo ng ligtas, de-kalidad na software, pinapaliit ang mga panganib habang pinapalaki ang bilis at pagiging produktibo. Ang Synopsys, isang kinikilalang pinuno sa seguridad ng aplikasyon, ay nagbibigay ng static na pagtatasa, pagtatasa ng komposisyon ng software, at mga solusyon sa pag-aaral ng pag-analisa na nagbibigay-daan sa mga koponan na mabilis na mahanap at ayusin ang mga kahinaan at depekto sa pagmamay-ari na code, mga buksan ng sangkap ng mapagkukunan, at ugali ng aplikasyon. Sa isang kumbinasyon ng mga tool, serbisyo, at kadalubhasaan na nangunguna sa industriya, ang mga Synopsy lamang ang tumutulong sa mga samahan na i-optimize ang seguridad at kalidad sa DevSecOps at sa buong ikot ng buhay sa pag-unlad ng software. Dagdagan ang nalalaman sa www.synopsys.com/software.

Tungkol sa Synopsys

Ang Synopsys, Inc. (Nasdaq: SNPS) ay kasosyo ng Silicon to Software ™ para sa mga makabagong kumpanya na bumubuo ng mga elektronikong produkto at software application na umaasa sa araw-araw. Bilang isang kumpanya ng S&P 500, ang Synopsys ay may mahabang kasaysayan ng pagiging isang pandaigdigang nangunguna sa electronic design automation (EDA) at semiconductor IP at nag-aalok ng pinakamalawak na portfolio ng industriya ng mga tool sa pagsubok ng seguridad ng aplikasyon. Kung ikaw man ay isang taga-disenyo ng system-on-chip (SoC) na lumilikha ng mga advanced na semiconductor, o isang developer ng software na nagsusulat ng mas ligtas, de-kalidad na code, ang Synopsys ay may mga solusyon na kinakailangan upang maihatid ang mga makabagong produkto. Dagdagan ang nalalaman sa www.synopsys.com.

# # #