Đăng trên

Tóm tắt của biên tập viên: Nếu bạn đang chạy DevOps tại tổ chức của mình, điều bắt buộc là phải đảm bảo cả chất lượng phần mềm và bảo mật cùng một lúc, đặc biệt là chống lại thế giới ngày nay của các tác nhân đe dọa xâm nhập vào mọi nút, phần mềm hoặc hệ thống. Ấn bản thứ 11 của BSIMM (Building Security In Maturity Model), hay BSIMM11, phản ánh địa hình của 130 công ty từ các ngành như dịch vụ tài chính, fintech, ISV, đám mây, chăm sóc sức khỏe, IoT và bán lẻ. Dưới đây là bản phát hành tin tức của nhà cung cấp.

Synopsys Publishers Nghiên cứu BSIMM11 nêu bật những thay đổi cơ bản trong các sáng kiến ​​bảo mật phần mềm để đáp ứng với DevOps và chuyển đổi kỹ thuật số

em> Lần lặp lại thứ 11 của Mô hình An ninh Xây dựng Trong giai đoạn Trưởng thành phản ánh cách các tổ chức đang điều chỉnh các nỗ lực bảo mật phần mềm của họ để hỗ trợ các mô hình phát triển phần mềm hiện đại

SINGAPORE, @mcgallen #microwirethông tin, ngày 16 tháng 2020 năm XNUMX-Synopsys, Inc. (Nasdaq: SNPS) hôm nay được xuất bản BSIMM11, phiên bản mới nhất của Xây dựng mô hình bảo mật khi trưởng thành (BSIMM), được tạo ra để giúp các tổ chức lập kế hoạch, thực thi, đo lường và cải thiện các sáng kiến ​​bảo mật phần mềm (SSI) của họ. BSIMM11 phản ánh các thực tiễn bảo mật phần mềm được quan sát trên 130 công ty từ nhiều ngành dọc bao gồm dịch vụ tài chính, FinTech, các nhà cung cấp phần mềm độc lập, đám mây, chăm sóc sức khỏe, Internet of Things, bảo hiểm và bán lẻ. BSIMM11 mô tả công việc của 8,457 chuyên gia bảo mật phần mềm hướng dẫn nỗ lực của hơn 490,000 nhà phát triển.

BSIMM được các tổ chức sử dụng làm thước đo để so sánh và đối chiếu các sáng kiến ​​của chính họ với dữ liệu từ cộng đồng BSIMM rộng lớn hơn. BSIMM11 cho thấy nhiều tổ chức đang điều chỉnh các nỗ lực bảo mật phần mềm của họ để hỗ trợ chuyển đổi kỹ thuật số và các mô hình phát triển phần mềm hiện đại như DevOps.

“BSIMM là một nguồn tài nguyên tuyệt vời cho các nhà lãnh đạo bảo mật quan tâm đến việc học hỏi kinh nghiệm chung của các đồng nghiệp của họ, đặc biệt là để giải quyết các thách thức mới hoặc đang phát sinh,” nói Mike Newborn, CISO của Liên minh Tín dụng Liên bang Hải quân, một tổ chức thành viên của cộng đồng BSIMM. “Ngày nay, hầu hết các tổ chức phải đối mặt với thách thức trong việc đảm bảo danh mục ứng dụng ngày càng tăng trong bối cảnh thực tiễn phát triển phần mềm đang phát triển nhanh chóng và tăng tốc. BSIMM11 phản ánh có bao nhiêu tổ chức trong số này đang điều chỉnh các chiến lược bảo mật phần mềm của họ để bảo vệ bản thân và khách hàng của họ mà không cản trở sự đổi mới hoặc cản trở tốc độ phát triển. ”

Các xu hướng mới nổi trong BSIMM11

  • Các nỗ lực bảo mật phần mềm do kỹ thuật dẫn đầu đang đóng góp thành công vào các luồng giá trị DevOps nhằm theo đuổi khả năng phục hồi. BSIMM11 cho thấy thiết bị CI / CD và điều phối hoạt động đã trở thành thành phần tiêu chuẩn của các sáng kiến ​​bảo mật phần mềm của nhiều tổ chức và đang ảnh hưởng đến cách chúng được tổ chức, thiết kế và thực thi. Ví dụ: các nhóm bảo mật phần mềm ngày càng báo cáo thành một nhóm công nghệ hoặc CTO (trái ngược với nhóm bảo mật CNTT hoặc CISO) và đang thay đổi cách họ tuyển dụng và tổ chức nhân tài trong nội bộ.
  • Quản trị bảo mật do phần mềm định nghĩa không còn chỉ mang tính tham vọng. Các tổ chức đang thay thế một số hoạt động bảo mật ngoài băng tần, có ma sát cao bằng các hoạt động tự động được kích hoạt bởi các sự kiện trong quá trình thực thi đường ống CI / CD. Chuyển đổi các quy trình của con người và ra quyết định sang các thuật toán là một trong những cách các tổ chức đang ngày càng giải quyết các hạn chế về nguồn lực và các vấn đề về quản lý nhịp. 
  • “Dịch sang trái” đang trở thành “dịch chuyển ở mọi nơi”. Việc triển khai khái niệm “dịch chuyển sang trái” đã phát triển từ cách hiểu theo nghĩa đen là thực hiện một số thử nghiệm bảo mật trước đó trong chu kỳ phát triển sang thực hiện các hoạt động bảo mật ngay khi có sẵn các tạo tác cần được xem xét. Điều đó có thể có nghĩa là bên trái nơi các hoạt động đã được thực hiện trong lịch sử, nhưng thường là bên phải, bao gồm cả trong quá trình sản xuất.
  • Giới thiệu ngành dọc FinTech cho nhóm dữ liệu BSIMM. Khi xem xét kỹ lưỡng nguồn dữ liệu ngày càng tăng của các công ty trong ngành tài chính, rõ ràng là cần phải thêm một ngành dọc riêng để tính đến các công ty là ISV hiệu quả đặc biệt cho phần mềm dịch vụ tài chính.

Michael Ware, đồng tác giả BSIMM và giám đốc công nghệ cao cấp của Synopsys cho biết: “Cách phần mềm hiện đại được xây dựng và triển khai đã thay đổi đáng kể trong vài năm qua, vì vậy những nỗ lực cần thiết để bảo mật phần mềm đó cũng đang thay đổi. “Các doanh nghiệp phụ thuộc rất nhiều vào phần mềm, và các phương pháp luận hiện đại đã thúc đẩy tốc độ phát triển. Do đó, có nhiều phần mềm hơn ở khắp mọi nơi, và chúng ta vẫn cần phải lo lắng về tất cả các phần mềm đã có từ trước. Là một mô hình liên tục phát triển để đại diện cho các phương pháp thực tế đang được sử dụng bởi hàng trăm nhóm bảo mật phần mềm trên khắp thế giới — bao gồm một số nhóm tiên tiến nhất trên thế giới — BSIMM cung cấp một cái nhìn gần thời gian thực về những thay đổi này đang diễn ra như thế nào được triển khai để bảo vệ danh mục phần mềm đang phát triển. ”

Các hoạt động mới trong BSIMM thể hiện sự chuyển hướng sang DevSecOps

Ba hoạt động được thêm vào BSIMM10 đã có sự tăng trưởng đặc biệt trong năm qua (SM3.4 Tích hợp quản trị vòng đời do phần mềm xác định, AM3.3 Giám sát tạo tài sản tự động, CMVM3.5 Tự động xác minh bảo mật cơ sở hạ tầng hoạt động). Điều này phản ánh cách một số tổ chức đang tích cực làm việc để tăng tốc các nỗ lực bảo mật phần mềm để phù hợp với tốc độ phân phối phần mềm. Hơn nữa, hai hoạt động được thêm vào BSIMM11 đại diện cho sự tiếp nối của xu hướng đó (ST3.6 Thực hiện kiểm tra bảo mật theo hướng sự kiện, CMVM3.6 Xuất bản dữ liệu rủi ro cho các hiện vật có thể triển khai).

BSIMM trong các ngành

BSIMM cung cấp cái nhìn sâu sắc theo hướng dữ liệu, duy nhất để hiểu và so sánh những điểm mạnh và điểm yếu tương đối của các sáng kiến ​​bảo mật phần mềm trong nhiều ngành khác nhau. Đám mây, Internet vạn vật và các công ty công nghệ cao là ba trong số các ngành dọc trưởng thành nhất trong nhóm dữ liệu BSIMM11. BSIMM11 cũng nêu bật sự khác biệt giữa ba ngành được quản lý cao: dịch vụ tài chính, chăm sóc sức khỏe và bảo hiểm. Ngành dịch vụ tài chính, vốn có các nhóm bảo mật phần mềm sớm hơn các ngành khác, được coi là có các hoạt động hoàn thiện hơn so với các đối tác của họ trong lĩnh vực chăm sóc sức khỏe và bảo hiểm. Lần đầu tiên, BSIMM trình bày dữ liệu về ngành dọc FinTech và nhận thấy rằng nó theo dõi khá chặt chẽ các dịch vụ tài chính, với các vùng chính (có lợi cho FinTech) xảy ra trong quá trình đào tạo, kiểm tra bảo mật và đánh giá mã.

Đọc Thông báo BSIMM11 hoặc tải xuống đầy đủ Nghiên cứu BSIMM11.

Để được thảo luận trực tiếp về phát hiện quan trọng trong BSIMM11, hãy đăng ký hội thảo trên web ngày 15 tháng XNUMX của chúng tôi, BSIMM11: Sự phát triển của DevSecOps

Lời cảm ơn

Sammy Migues, nhà khoa học chính tại Synopsys, Michael Ware, giám đốc công nghệ cấp cao của Synopsys, và John Steven, Hiệu trưởng sáng lập tại Aedify Security, tác giả của BSIMM11 sau khi phân tích dữ liệu thu thập được trong gần 12 năm nghiên cứu bảo mật phần mềm. Một số công ty tham gia nghiên cứu BSIMM bao gồm: Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canada Imperial Bank of Commerce, City National Bank , Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services , HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Tập đoàn tài chính chính , Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, US Bank, Veritas, Verizon, Verizon Media, Wells Fargo và Zendesk.

Giới thiệu về BSIMM

Bắt đầu vào năm 2008, Mô hình Bảo mật Tòa nhà Trong thời kỳ Trưởng thành (BSIMM) là một công cụ để tạo, đo lường và đánh giá các sáng kiến ​​bảo mật phần mềm. Một mô hình hướng dữ liệu và công cụ đo lường được phát triển thông qua việc nghiên cứu và phân tích cẩn thận hơn 200 sáng kiến ​​bảo mật phần mềm, BSIMM11 bao gồm dữ liệu hiện tại, trong thế giới thực từ 130 tổ chức. BSIMM là một tiêu chuẩn mở bao gồm một khuôn khổ dựa trên các thực hành bảo mật phần mềm, mà một tổ chức có thể sử dụng để đánh giá và hoàn thiện các nỗ lực của chính mình trong bảo mật phần mềm. Để biết thêm thông tin, hãy truy cập www.bsimm.com.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #