Đăng trên

Tóm tắt của biên tập viên: Một trong những người sáng lập ra nước Mỹ và là người đa tài, Benjamin Franklin, đã từng nói, “hãy nói với tôi và tôi quên, dạy tôi và tôi có thể nhớ, nhưng liên quan đến tôi và tôi học”. Tương tự như vậy, trong thế giới ngày càng phức tạp của DevOps và an ninh mạng, nơi mà các mối đe dọa đang xuất hiện và đang diễn ra là vô cùng lớn, mô hình “chuyển sang trái” của việc thiết kế phần mềm đúng và an toàn ngay từ đầu có ý nghĩa hoàn hảo. Sau đó, chúng ta có thể học hỏi và áp dụng điều gì từ các phương pháp hay nhất của 128 tổ chức nổi tiếng, dưới dạng BSIMM12 (Mô hình An ninh Xây dựng trong Thời kỳ Trưởng thành), hiện đang ở phiên bản thứ 12 đang chạy? Dưới đây là bản phát hành của nhà cung cấp.

Synopsys Publishers Nghiên cứu BSIMM12 làm nổi bật sự tăng trưởng đáng chú ý trong các nỗ lực bảo mật nguồn mở, đám mây và vùng chứa

Lần lặp lại thứ 12 của Mô hình bảo mật tòa nhà trong giai đoạn trưởng thành phản ánh sự gián đoạn chuỗi cung ứng phần mềm và ransomware có cấu hình cao, thúc đẩy sự chú ý ngày càng tăng về bảo mật phần mềm.

SINGAPORE, @mcgallen #microwirethông tin, ngày 29 tháng 2021 năm XNUMX - XNUMX - Synopsys, Inc. (Nasdaq: SNPS) hôm nay được xuất bản BSIMM12, phiên bản mới nhất của Xây dựng mô hình bảo mật khi trưởng thành (BSIMM) báo cáo, được tạo để giúp các tổ chức lập kế hoạch, thực thi, đo lường và cải thiện các sáng kiến ​​bảo mật phần mềm của họ. BSIMM12 phản ánh các thực tiễn bảo mật phần mềm được quan sát trên 128 công ty từ nhiều ngành dọc bao gồm dịch vụ tài chính, FinTech, các nhà cung cấp phần mềm độc lập, đám mây, chăm sóc sức khỏe và Internet of Things. BSIMM12 mô tả công việc của gần 3,000 thành viên nhóm bảo mật phần mềm và hơn 6,000 thành viên vệ tinh. BSIMM được các tổ chức trên toàn cầu sử dụng như một thước đo để so sánh và đối chiếu các sáng kiến ​​của chính họ với dữ liệu từ cộng đồng BSIMM rộng lớn hơn.

Dữ liệu BSIMM12 cho thấy sự gia tăng 61% trong việc xác định và quản lý nguồn mở của các nhóm bảo mật phần mềm trong hai năm qua, gần như chắc chắn là do sự phổ biến của các thành phần nguồn mở trong phần mềm hiện đại và sự gia tăng của các cuộc tấn công sử dụng các dự án nguồn mở phổ biến làm vectơ.

Sự phát triển trong các hoạt động liên quan đến nền tảng đám mây và công nghệ container cho thấy tác động mạnh mẽ của những công nghệ này đối với cách các tổ chức sử dụng và bảo mật phần mềm. Ví dụ: các quan sát về “sử dụng điều phối cho các thùng chứa và môi trường ảo hóa” đã tăng 560% trong hai năm qua.

“Trong 18 tháng qua, các tổ chức đã trải qua một đợt tăng tốc mạnh mẽ của các sáng kiến ​​chuyển đổi kỹ thuật số. Điều này đã dẫn đến việc tăng cường áp dụng các phương pháp tiếp cận do phần mềm xác định để triển khai và quản lý môi trường phần mềm và các công nghệ đám mây, ”Mike Ware, Hiệu trưởng An ninh Thông tin tại Navy Federal Credit Union, một tổ chức thành viên của cộng đồng BSIMM, cho biết. “Với sự phức tạp và tốc độ của những thay đổi này, việc các nhóm bảo mật có những công cụ cho phép họ hiểu vị trí của mình và tham khảo về nơi họ nên xoay vòng tiếp theo là điều quan trọng hơn bao giờ hết. BSIMM là một công cụ quản lý để phục vụ mục đích như vậy. BSIMM cung cấp một lăng kính độc đáo về cách các tổ chức đang thay đổi chiến lược để triển khai các tính năng bảo mật do phần mềm xác định như chính sách dưới dạng mã để phù hợp với các nguyên tắc và thực tiễn phát triển phần mềm hiện đại ”.

Mathieu Chevalier, Kiến trúc sư Bảo mật Trưởng, Genetec Inc., một tổ chức thành viên của Cộng đồng BSIMM. “Mô hình mô tả của BSIMM giúp các tổ chức xác định cách bắt đầu xây dựng sáng kiến ​​bảo mật phần mềm và hoàn thiện nó một cách hiệu quả. Các quan sát của BSIMM12 liên quan đến các mô hình trách nhiệm chung sẽ khuyến khích các nhà lãnh đạo bảo mật xem xét cách họ đang phát triển để đáp ứng và giảm thiểu bất kỳ lỗ hổng tiềm ẩn nào trong chiến lược bảo mật của họ ”.

“Nghiên cứu BSIMM rất phù hợp về mặt tiếp cận các phương pháp hay nhất trong ngành. Todd Wiedman, CISO tại Landis + Gyr, một tổ chức thành viên của cộng đồng BSIMM, cho biết nó có thể được sử dụng để hiểu mức độ trưởng thành trong nhiều hoạt động an ninh phát triển khác nhau như được quan sát thấy ở nhiều nhóm phát triển. “Với thực tiễn phát triển phần mềm tăng tốc nhanh chóng, dữ liệu BSIMM12 minh họa những thay đổi thực tế đang diễn ra trong các chương trình phát triển bảo mật. Với thông tin này, các tổ chức có thể điều chỉnh các chiến lược của riêng mình để bảo vệ tổ chức và khách hàng của họ mà không làm cản trở sự đổi mới ”.

Vinod Raghavan, Giám đốc, Chương trình Bảo mật Sản phẩm & Dữ liệu tại Finastra, một tổ chức thành viên của cộng đồng BSIMM, cho biết: “Là một phần của Chương trình Bảo mật Sản phẩm và Dữ liệu của chúng tôi, chúng tôi đã sử dụng khuôn khổ BSIMM để giúp chúng tôi thúc đẩy chiến lược bảo mật của mình. “Nó đã là công cụ giúp chúng tôi so sánh với các tổ chức khác trong cả dịch vụ tài chính và các ngành công nghiệp khác, hỗ trợ sự trưởng thành về bảo mật”.

Các xu hướng mới nổi trong BSIMM12

  • Phần mềm ransomware cao cấp và sự gián đoạn chuỗi cung ứng phần mềm đang làm gia tăng sự chú ý về bảo mật phần mềm. Trong hai năm qua, dữ liệu BSIMM cho thấy sự gia tăng 61% trong hoạt động “xác định nguồn mở” và mức tăng 57% trong hoạt động “tạo SLA boilerplates” giữa các tổ chức tham gia.
  • Các doanh nghiệp đang học cách chuyển rủi ro thành các con số. Các tổ chức đang nỗ lực nhiều hơn để thu thập và xuất bản dữ liệu sáng kiến ​​bảo mật phần mềm của họ, thể hiện qua hoạt động “xuất bản dữ liệu về bảo mật phần mềm nội bộ” tăng 30% trong 24 tháng qua.
  • Tăng khả năng bảo mật đám mây. Sự chú ý của người điều hành ngày càng tăng, có thể kết hợp với các nỗ lực dựa trên kỹ thuật, cũng đã dẫn đến việc các tổ chức phát triển khả năng riêng của họ để quản lý bảo mật đám mây và đánh giá các mô hình trách nhiệm chung của họ. Có trung bình 36 quan sát mới trong hai năm qua về các hoạt động thường liên quan đến bảo mật đám mây.
  • Các nhóm bảo mật đang cho mượn tài nguyên, nhân viên và kiến ​​thức để thực hiện DevOps.Dữ liệu BSIMM cho thấy sự thay đổi của các nhóm bảo mật phần mềm từ việc ủy ​​thác các hành vi bảo mật phần mềm và hướng tới vai trò đối tác — cung cấp tài nguyên, nhân viên và kiến ​​thức cho các phương pháp DevOps với mục tiêu bao gồm các nỗ lực bảo mật trong lộ trình quan trọng để cung cấp phần mềm.
  • Hoạt động của Hóa đơn phần mềm tăng 367%. Dữ liệu BSIMM cho thấy sự gia tăng các khả năng tập trung vào phần mềm kiểm kê; tạo phần mềm Hóa đơn nguyên vật liệu (BOM); hiểu cách phần mềm được xây dựng, cấu hình và triển khai; và tăng khả năng triển khai lại của tổ chức dựa trên đo từ xa bảo mật. Chứng tỏ rằng nhiều tổ chức đã chú ý đến nhu cầu về một BOM phần mềm toàn diện, cập nhật, hoạt động BSIMM liên quan đến các khả năng đó (“tăng cường kiểm kê ứng dụng với các hoạt động Bill of Materials”) đã tăng từ 3 lên 14 quan sát trong quá khứ hai năm — tăng 367%.
  • “Chuyển sang trái” chuyển thành “thay đổi mọi nơi”. Khái niệm “dịch chuyển sang trái” tập trung vào việc chuyển thử nghiệm bảo mật sớm hơn trong quá trình phát triển. “Thay đổi mọi nơi” mở rộng ý tưởng để làm cho kiểm tra bảo mật liên tục trong suốt vòng đời của phần mềm, bao gồm các thử nghiệm bảo mật nhỏ hơn, nhanh hơn, theo hướng đường ống được tiến hành sớm nhất, có thể là trong quá trình thiết kế hoặc thậm chí trong quá trình sản xuất.

Việc rời bỏ việc duy trì kiểm kê hoạt động truyền thống và hướng tới phát hiện tài sản tự động và tạo Hóa đơn vật chất bao gồm thêm các hoạt động “thay đổi mọi nơi” như sử dụng vùng chứa để thực thi các biện pháp kiểm soát bảo mật, điều phối và quét cơ sở hạ tầng dưới dạng mã. Tỷ lệ quan sát BSIMM tăng lên đối với các hoạt động như “tăng cường kiểm kê ứng dụng với các hoạt động Bill of Materials”, “sử dụng điều phối cho các thùng chứa và môi trường ảo hóa” và “giám sát việc tạo tài sản tự động” đều cho thấy xu hướng này.

Jason Schmitt, tổng giám đốc của Synopsys Software Integrity Group, cho biết: “Kể từ năm 2008, các chuyên gia tư vấn, nghiên cứu và dữ liệu của BSIMM đã thu thập dữ liệu về các con đường khác nhau mà các tổ chức thực hiện để giải quyết những thách thức về bảo mật phần mềm. “Với độ tuổi trung bình là 4.4 năm, các sáng kiến ​​bảo mật phần mềm của các tổ chức tham gia BSIMM phản ánh cách các tổ chức đang điều chỉnh cách tiếp cận của họ để giải quyết các động lực mới của thực tiễn triển khai và phát triển hiện đại. Với thông tin này, các tổ chức sau đó có thể điều chỉnh các chiến lược của riêng mình để bảo vệ tổ chức và khách hàng của họ mà không làm cản trở sự đổi mới ”.

Để tìm hiểu thêm, hãy tải xuống BSIMM12 Thông tin chi tiết và Xu hướng. Để có một cuộc thảo luận tương tác về những phát hiện chính trong BSIMM12, đăng ký hội thảo trên web ngày 21 tháng XNUMX của chúng tôi.

Lời cảm ơn

Sammy Migues, nhà khoa học chính tại Synopsys, Eli Erlikhman, quản lý hiệu trưởng tại Synopsys, Jacob Ewers, cố vấn bảo mật chính tại Synopsys, và Kevin Nassery, giám đốc bảo mật ứng dụng tại Gemini, tác giả BSIMM12 sau khi phân tích dữ liệu thu thập được trong gần 13 năm nghiên cứu bảo mật phần mềm. Một số công ty tham gia nghiên cứu BSIMM bao gồm: AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis + Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Main Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon Media.

Giới thiệu về BSIMM

Bắt đầu vào năm 2008, Mô hình Bảo mật Tòa nhà Trong thời kỳ Trưởng thành (BSIMM) là một công cụ để tạo, đo lường và đánh giá các sáng kiến ​​bảo mật phần mềm. Một mô hình hướng dữ liệu và công cụ đo lường được phát triển thông qua việc nghiên cứu và phân tích cẩn thận hơn 200 sáng kiến ​​bảo mật phần mềm, BSIMM11 bao gồm dữ liệu hiện tại, trong thế giới thực từ 128 tổ chức. BSIMM là một tiêu chuẩn mở bao gồm một khuôn khổ dựa trên các thực hành bảo mật phần mềm, mà một tổ chức có thể sử dụng để đánh giá và hoàn thiện các nỗ lực của chính mình trong bảo mật phần mềm. Để biết thêm thông tin, hãy truy cập www.bsimm.com.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là một công ty thuộc S&P 500, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu về tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cung cấp danh mục dịch vụ và công cụ kiểm tra bảo mật ứng dụng rộng nhất trong ngành. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết mã chất lượng cao, an toàn hơn, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo. Tìm hiểu thêm tại www.synopsys.com.

# # #