Đăng trên

Lần đầu tiên được phát hành tại APAC, Sự lặp lại mới nhất của Mô hình An ninh Tòa nhà trong thời kỳ trưởng thành cho thấy nhiều tổ chức hơn đang khởi động Sáng kiến ​​bảo mật phần mềm của họ với các Đánh giá và cải tiến theo thời gian

Singapore, @mcgallen #microwirethông tin, ngày 9 tháng 2017 năm XNUMX - Synopsys, Inc. (Nasdaq: SNPS) đã phát hành BSIMM8, phiên bản mới nhất của mô hình hoàn thiện về bảo mật phần mềm hàng đầu, dựa trên dữ liệu trong thế giới thực và giúp các tổ chức lập kế hoạch, thực thi và đo lường các sáng kiến ​​bảo mật phần mềm (SSI) của họ. Lần đầu tiên được phát hành tại APAC, lần lặp thứ tám của Mô hình An ninh Tòa nhà khi Trưởng thành (BSIMM) dựa trên dữ liệu được thu thập từ cộng đồng lớn nhất cho đến nay. BSIMM8 cho thấy rằng bảo mật phần mềm đang trở thành một ưu tiên kinh doanh quan trọng với nhiều tổ chức hơn đánh giá điểm chuẩn nỗ lực của họ sớm trong vòng đời SSI của họ và sử dụng kết quả một cách chiến lược để cải thiện tình trạng rủi ro của họ theo thời gian. Để tải xuống báo cáo, hãy truy cập https://www.bsimm.com/download.html.

“Với sự gia tăng của các cuộc tấn công phân tán rộng rãi và ngày càng gây rối nhắm vào phần mềm dễ bị tấn công, chúng tôi đang thấy sự thay đổi từ cách tiếp cận phản ứng 'xâm nhập và vá lỗi' sang các chiến lược chủ động hơn giúp các tổ chức xây dựng phần mềm an toàn một cách có hệ thống ngay từ đầu," Gary McGraw, phó chủ tịch công nghệ bảo mật tại Synopsys. “Các tổ chức bắt đầu hiểu rằng họ có thể giảm thiểu rủi ro hiệu quả hơn bằng cách thiết lập sáng kiến ​​bảo mật phần mềm, đánh giá điểm mạnh và điểm yếu của họ sớm thông qua các công cụ như BSIMM và tập trung nỗ lực vào các hoạt động và thực tiễn phù hợp nhất.”

BSIMM8 bao gồm dữ liệu được thu thập từ 109 công ty và mô tả công việc của 4,769 chuyên gia bảo mật phần mềm, giới thiệu khoa học đằng sau các phương pháp hay nhất về bảo mật phần mềm. Công việc của họ hướng dẫn và tối đa hóa các nỗ lực bảo mật của gần 300,000 nhà phát triển trên khoảng 95,000 ứng dụng. Các công ty BSIMM8 đại diện cho ngành dọc bao gồm dịch vụ tài chính, nhà cung cấp phần mềm độc lập (ISV), đám mây, chăm sóc sức khỏe, Internet of Things (IoT) và bảo hiểm.

Những phát hiện chính từ nghiên cứu BSIMM8:

  • Các tổ chức sử dụng BSIMM để bắt đầu SSI của họ. BSIMM8 giới thiệu các công ty trong giai đoạn đầu của vòng đời SSI, bằng chứng là giảm nhẹ điểm trưởng thành trung bình1 (33.1, giảm từ 33.9 trong BSIMM7) và độ tuổi trung bình của nhóm bảo mật phần mềm (3.88 tuổi, giảm từ 3.94 trong BSIMM7) của Dân số BSIMM. Đo điểm chuẩn SSI là một trong những bước đầu tiên quan trọng trong hành trình bảo mật phần mềm.
  • Các công ty BSIMM trưởng thành theo thời gian. Các công ty đã tham gia nhiều cuộc đánh giá BSIMM cho thấy xu hướng cải thiện rõ ràng, với điểm số tăng trung bình 10.3 hoặc 33.4 phần trăm. Đo điểm chuẩn là một bài tập hiệu quả trong việc hướng dẫn các tổ chức đi theo con đường tối ưu để xây dựng phần mềm an toàn một cách nhất quán.
  • Sự trưởng thành thay đổi theo ngành. Mỗi ngành ưu tiên các hoạt động nhất định hơn các ngành khác và mỗi ngành và tổ chức cá nhân có một con đường khác nhau để xây dựng bảo mật. Trung bình, các công ty đám mây, dịch vụ tài chính và ISV phát triển hơn các công ty trong lĩnh vực chăm sóc sức khỏe, IoT và bảo hiểm. Các công ty dịch vụ tài chính và đám mây có điểm số cao hơn đáng kể trong thực tiễn tuân thủ và chính sách, trong khi các công ty IoT có thực hành môi trường phần mềm trưởng thành nhất.

Theo Gartner, “Bảo mật ứng dụng đòi hỏi một cách tiếp cận có cấu trúc, có lập trình để đối phó với sự hỗn loạn dường như của công nghệ mới và bối cảnh mối đe dọa đang phát triển. Một chương trình bảo mật ứng dụng thành công phải là sự kết hợp cân bằng giữa con người, quy trình và công nghệ. ”2

BSIMM quan sát các công ty đã thiết lập các sáng kiến ​​bảo mật phần mềm thực sự, lượng hóa sự xuất hiện của 113 hoạt động để chỉ ra điểm chung của nhiều sáng kiến ​​cũng như các biến thể tạo nên sự độc đáo của mỗi sáng kiến. Dữ liệu BSIMM cho thấy rằng các sáng kiến ​​có mức độ trưởng thành cao đều được thực hiện đầy đủ — thực hiện nhiều hoạt động trong tất cả 12 hoạt động được mô tả bởi mô hình. Các tổ chức có thể sử dụng BSIMM để so sánh các sáng kiến ​​và xác định các hoạt động bổ sung nào có thể hữu ích.

Lời cảm ơn
Tiến sĩ McGraw cùng với Sammy Migues, nhà khoa học chính tại Synopsys, và Jacob West, kiến ​​trúc sư trưởng tại NetSuite, đã phân tích dữ liệu thu thập được trong chín năm nghiên cứu bảo mật phần mềm. Các công ty tham gia đánh giá bao gồm: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco , Citigroup, Citizen's Bank, Comerica Bank, Cryptography Research (một bộ phận của Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Tập đoàn tài chính chính, Qualcomm, Ngân hàng Hoàng gia Canada, Trò chơi khoa học, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, Ban cố vấn, The Home Depot, The Vanguard Group, Đường tàu, Trane, US Ba nk, Veritas, Verizon, Wells Fargo, Zendesk và Zephyr Health.

1. Điểm BSIMM phản ánh tổng số hoạt động bảo mật phần mềm được quan sát trong quá trình đánh giá sáng kiến ​​bảo mật phần mềm của một công ty. Mỗi hoạt động có giá trị một điểm và khung BSIMM bao gồm 113 hoạt động.

2. Nguồn: Gartner, “Khung Hướng dẫn Thiết lập và Hoàn thiện Chương trình Bảo mật Ứng dụng”, ngày 23 tháng 2016 năm XNUMX, Michael Isbitski & Ramon.

Giới thiệu về BSIMM
Được bắt đầu vào năm 2008, Mô hình An ninh Tòa nhà khi Trưởng thành (BSIMM) là một công cụ để đo lường và đánh giá các sáng kiến ​​bảo mật phần mềm. Một mô hình theo hướng dữ liệu và công cụ đo lường được phát triển thông qua việc nghiên cứu và phân tích cẩn thận các sáng kiến ​​bảo mật phần mềm, BSIMM bao gồm dữ liệu trong thế giới thực từ hơn 100 tổ chức. BSIMM là một tiêu chuẩn mở bao gồm một khuôn khổ dựa trên các thực hành bảo mật phần mềm, mà một tổ chức có thể sử dụng để đánh giá những nỗ lực của chính mình trong việc bảo mật phần mềm. Để biết thêm thông tin, hãy truy cập https://www.bsimm.com.

Giới thiệu về Nền tảng toàn vẹn phần mềm Synopsys
Synopsys cung cấp giải pháp toàn diện nhất để xây dựng tính toàn vẹn — bảo mật và chất lượng — vào vòng đời phát triển phần mềm và chuỗi cung ứng. Nền tảng toàn vẹn phần mềm hợp nhất các công nghệ kiểm tra hàng đầu, phân tích tự động và các chuyên gia để tạo ra một danh mục sản phẩm và dịch vụ mạnh mẽ. Danh mục đầu tư này cho phép các công ty phát triển các chương trình được cá nhân hóa để phát hiện và khắc phục sớm các khiếm khuyết và lỗ hổng trong quá trình phát triển, giảm thiểu rủi ro và tối đa hóa năng suất. Synopsys, một công ty hàng đầu được công nhận trong lĩnh vực kiểm tra bảo mật ứng dụng, có vị trí độc nhất để thích ứng và áp dụng các phương pháp hay nhất cho các công nghệ và xu hướng mới như IoT, DevOps, CI / CD và Đám mây. Để biết thêm thông tin, hãy truy cập www.synopsys.com/software.

Giới thiệu về Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #