发表于

编者按:美国开国元勋之一、博学多才的本杰明·富兰克林曾说过,“告诉我,我忘记,教我,我可能记得,但让我参与,我学习”。 同样,在 DevOps 和网络安全日益复杂的世界中,新出现和持续存在的威胁是巨大的,从一开始就设计正确和安全的软件的“左移”范式非常有意义。 那么,我们可以以 BSIMM128(成熟度模型中的构建安全性)的形式从 12 个杰出组织的最佳实践中学习和采用什么,现在正在运行第 12 版? 供应商的版本如下。

Synopsys 发布 BSIMM12 研究,强调开源、云和容器安全工作的显着增长

构建成熟安全模型的第 12 次迭代反映了备受瞩目的勒索软件和软件供应链中断,推动了对软件安全的更多关注。

新加坡,@mcgallen#microwire资讯,29年2021月XNUMX日Synopsys,Inc. (纳斯达克股票代码:SNPS)今天发布 BSIMM12,最新版本 在成熟度模型(BSIMM)中构建安全性 报告,旨在帮助组织计划、执行、衡量和改进其软件安全计划。 BSIMM12 反映了在金融服务、金融科技、独立软件供应商、云、医疗保健和物联网等多个垂直行业的 128 家公司中观察到的软件安全实践。 BSIMM12 描述了近 3,000 名软件安全小组成员和 6,000 多名卫星成员的工作。 BSIMM 被全球各地的组织用作衡量标准,将他们自己的计划与来自更广泛 BSIMM 社区的数据进行比较和对比。

BSIMM12 数据表明,过去两年软件安全组织对开源的识别和管理增加了 61%,这几乎可以肯定是由于现代软件中开源组件的盛行以及使用流行开源项目作为载体的攻击的兴起。

与云平台和容器技术相关的活动的增长表明这些技术对组织如何使用和保护软件产生了巨大影响。 例如,在过去两年中,“为容器和虚拟化环境使用编排”的观察增加了 560%。

“在过去的 18 个月中,组织经历了数字化转型计划的大幅加速。 这导致越来越多地采用软件定义的方法来部署和管理软件环境和云技术堆栈,”BSIMM 社区成员组织 Navy Federal Credit Union 的信息安全负责人 Mike Ware 说。 “考虑到这些变化的复杂性和速度,对于安全团队来说,拥有能够让他们了解自己的立场并为下一步应该转向的地方提供参考的工具变得前所未有的重要。 BSIMM 是用于实现此目的的管理工具。 BSIMM 提供了一个独特的视角,可以了解组织如何改变实施软件定义的安全功能(如策略即代码)的策略,以与现代软件开发原则和实践保持一致。”

“BSIMM 研究允许组织对他们当前的安全实践进行基准测试,以便他们可以确定优先事项并保持观点以应对安全领域的新兴趋势,”Genetec Inc. 的首席安全架构师 Mathieu Chevalier 说,该公司是该组织的成员组织。 BSIMM 社区。 “BSIMM 的描述性模型可帮助组织确定如何开始构建软件安全计划并使其有效成熟。 BSIMM12 对共担责任模型的观察尤其应鼓励安全领导者考虑他们如何发展以应对和减轻其安全策略中的任何潜在差距。”

“BSIMM 研究在获取行业最佳实践方面非常一致。 BSIMM 社区成员组织 Landis+Gyr 的 CISO Todd Wiedman 说,它可用于了解在多个开发团队中观察到的各种开发安全活动的成熟度。 “随着软件开发实践的迅速加速,BSIMM12 数据说明了安全开发计划中发生的实际变化。 有了这些信息,组织可以调整自己的策略来保护他们的组织和客户,而不会抑制创新。”

“作为我们产品和数据安全计划的一部分,我们一直在使用 BSIMM 框架来帮助我们推进我们的安全战略,”BSIMM 社区成员组织 Finastra 的产品和数据安全计划总监 Vinod Raghavan 说。 “它有助于我们与金融服务和其他行业的其他组织进行基准比较,支持安全成熟度。”

BSIMM12的新兴趋势

  • 备受瞩目的勒索软件和软件供应链中断正促使人们越来越关注软件安全。 在过去两年中,BSIMM 数据显示,参与组织的“识别开源”活动增加了 61%,“创建 SLA 样板”活动增加了 57%。
  • 企业正在学习如何将风险转化为数字。 组织正在更加努力地收集和发布其软件安全计划数据,过去 30 个月“在内部发布有关软件安全的数据”活动增加了 24%,这证明了这一点。
  • 增强云安全功能。 行政人员的关注增加,可能与工程驱动的努力相结合,也导致组织开发自己的管理云安全和评估其共同责任模型的能力。 在过去两年中,在通常与云安全相关的活动中平均有 36 项新观察结果。
  • 安全团队正在为 DevOps 实践提供资源、人员和知识。BSIMM 数据显示软件安全小组从强制软件安全行为转向合作伙伴角色——为 DevOps 实践提供资源、人员和知识,目标是将安全工作纳入软件交付的关键路径。
  • 软件物料清单活动增加了 367%。 BSIMM 数据显示专注于盘点软件的功能有所增加; 创建软件物料清单 (BOM); 了解软件是如何构建、配置和部署的; 并提高组织基于安全遥测重新部署的能力。 表明许多组织已经重视对全面、最新的软件 BOM 的需求,与这些功能相关的 BSIMM 活动(“通过运营物料清单增强应用程序库存”)在过去从 3 次观察到的增加到 14 次两年——增长了 367%。
  • “左移”发展为“到处转移”。 “左移”的概念侧重于在开发过程的早期移动安全测试。 “无处不在”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。

从维护传统的运营库存转向自动化资产发现和创建物料清单包括添加“随处移动”活动,例如使用容器来实施安全控制、编排和扫描基础设施即代码。 BSIMM 对诸如“通过运营物料清单增强应用程序库存”、“为容器和虚拟化环境使用编排”以及“监控自动化资产创建”等活动的更高观察率都证明了这一趋势。

“自 2008 年以来,BSIMM 咨询、研究和数据专家一直在收集有关组织为应对软件安全挑战所采取的不同途径的数据,”Synopsys 软件完整性小组总经理 Jason Schmitt 说。 “平均年龄为 4.4 岁,BSIMM 参与组织的软件安全计划反映了组织如何调整其方法以应对现代开发和部署实践的新动态。 有了这些信息,组织就可以调整自己的策略来保护他们的组织和客户,而不会抑制创新。”

要了解更多信息,请下载 BSIMM12 洞察和趋势. 对于 BSIMM12 中的主要发现的交互式讨论, 注册我们 21 月 XNUMX 日的网络研讨会.

致谢

Synopsys 首席科学家 Sammy Migues、Synopsys 管理负责人 Eli Erlikhman、Synopsys 首席安全顾问 Jacob Ewers 和 Gemini 应用程序安全总监 Kevin Nassery 在分析了近 12 年软件安全研究收集的数据后,编写了 BSIMM13。 参与 BSIMM 研究的部分公司包括:AARP、Adobe、Aetna、阿里巴巴、Ally Bank、Autodesk、Axway、美国银行、贝尔、Black Knight Financial Services、加拿大帝国商业银行、思科、花旗集团、存托信托和清算公司、礼来、eMoney Advisor、EQ Bank、Equifax、F-Secure、房利美、Finastra、房地美、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、霍尼韦尔、汇丰银行、iPipeline、强生、Landis+ Gyr、联想、MassMutual、McKesson、Medtronic、MediaTek、Morningstar、Navient、Navy Federal Credit Union、NCR、NEC Platforms、NetApp、NewsCorp、NVIDIA、Oppo、PayPal、Pegasystems、Principal Financial Group、RB、SambaSafety、ServiceNow、Synopsys、 TD Ameritrade、Teradata、The Home Depot、Vanguard Group、Trainline、Trane、美国银行、Veritas、Verizon Media。

关于BSIMM

从2008年开始,成熟的建筑物安全性模型(BSIMM)是用于创建,评估和评估软件安全性计划的工具。 BSIMM200是通过仔细研究和分析11多个软件安全计划而开发的一种数据驱动的模型和度量工具,它包含来自128个组织的当前,真实世界的数据。 BSIMM是一个开放标准,其中包括基于软件安全性实践的框架,组织可以使用该框架来评估和完善自己在软件安全性方面的工作。 有关更多信息,请访问 www.bsim.com.

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为标准普尔500强公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领先地位,拥有悠久的历史,并提供业界最广泛的应用程序安全测试工具和服务组合。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写更安全,高质量代码的软件开发人员,Synopsys都能提供交付创新产品所需的解决方案。 了解更多 www.synopsys.com.

###