发表于

成熟度模型中建筑物安全性的最新迭代首次在亚太地区发布,显示出越来越多的组织通过评估和逐步改进来启动其软件安全性计划

新加坡,@mcgallen#microwire信息,9年2017月XNUMX日– Synopsys,Inc. (纳斯达克股票代码:SNPS)已发布 BSIMM8,这是领先的软件安全性成熟度模型的最新版本,该模型基于实际数据,可帮助组织计划,执行和评估其软件安全性计划(SSI)。 建筑物安全性成熟度模型(BSIMM)的第八次迭代是在亚太地区首次发布,它是基于迄今为止最大的社区收集的数据。 BSIMM8表明,随着越来越多的组织在SSI生命周期的早期对他们的工作进行基准测试,并策略性地使用结果来改善其随着时间的风险状况,软件安全性已成为至关重要的业务重点。 要下载报告,请访问 https://www.bsimm.com/download.html.

“随着针对易受攻击的软件的广泛分布和破坏性攻击的兴起,我们看到了从被动的“渗透和修补”方法向更具主动性的策略转变,这种策略使组织能够从头开始系统地构建安全软件。” Synopsys安全技术副总裁Gary McGraw。 “组织开始认识到,他们可以通过建立软件安全计划,通过BSIMM之类的工具尽早评估其优势和劣势,并将精力集中在最合适的做法和活动上,从而更有效地减轻风险。”

BSIMM8包括从109家公司收集的数据,并描述了4,769名软件安全专业人员的工作,展示了软件安全最佳实践背后的科学。 他们的工作指导并扩大了大约300,000个应用程序中近95,000个开发人员的安全工作。 BSIMM8公司代表了垂直行业,包括金融服务,独立软件供应商(ISV),云,医疗保健,物联网(IoT)和保险。

BSIMM8研究的主要发现:

  • 组织使用BSIMM快速启动其SSI。 BSIMM8在SSI生命周期的早期阶段引入了公司,这可以从以下方面得到证明:平均成熟度评分1(从BSIMM33.1的33.9下降到7,从BSIMM3.88的3.94下降到平均7,从BSIMMXNUMX的XNUMX下降)。 BSIMM人口。 SSI基准测试是软件安全之旅中关键的第一步。
  • BSIMM公司随着时间而成熟。 参加过多个BSIMM评估的公司显示出明显的改善趋势,平均得分提高了10.3或33.4%。 基准测试是一种有效的练习,可以指导组织沿着最佳途径持续构建安全软件。
  • 成熟度因行业而异。 每个行业都将某些活动置于其他活动的优先位置,并且每个行业和单个组织在构建安全性方面都有不同的途径。平均而言,云计算,金融服务和ISV公司比医疗保健,物联网和保险业的公司更为成熟。 金融服务和云计算公司在合规性和策略实践方面得分较高,而物联网公司则拥有最成熟的软件环境实践。

根据Gartner的说法,“应用程序安全性需要一种结构化的程序化方法,以应对看似混乱的新技术和不断发展的威胁态势。 成功的应用程序安全程序必须是人员,流程和技术的平衡组合。” 2

BSIMM观察已经建立了真正的软件安全性计划的公司,量化了113项活动的发生,以显示许多计划共有的共同点以及使每个计划独特的变化。 BSIMM数据显示,高度成熟的计划是全面的-在该模型描述的所有12种实践中都进行了大量活动。 组织可以使用BSIMM比较计划并确定哪些其他活动可能有用。

致谢
McGraw博士与Synopsys的首席科学家Sammy Migues以及NetSuite的首席架构师Jacob West共同分析了过去XNUMX年的软件安全性研究收集的数据。 参与评估的公司包括:Adobe,Aetna,Amgen,ANDA,Autodesk,Axway,美国银行,必发,BMO金融集团,黑骑士金融服务,Box,加拿大帝国商业银行,第一资本,城市国家银行,思科,花旗银行,公民银行,美国银行,密码学研究(Rambus的一个部门),戴尔EMC,存款信托与清算公司,Elavon,Ellucian,Epsilon,Experian,F-Secure,Fannie Mae,Fidelity,Freddie Mac,General Electric, Genetec,Highmark Health Solutions,Horizo​​n Healthcare,Services,Inc.,HPE Fortify,HSBC,Independent Health,iPipeline,JPMorgan Chase&Co.,Lenovo,LinkedIn,McKesson,Medtronic,Morntronicstar,Navient,NetApp,NVIDIA,NXP Semiconductors NV,Oracle NSGBU,PayPal,首席金融集团,高通,加拿大皇家银行,科学游戏,西门子,索尼移动,Splunk,赛门铁克,Synopsys SIG,Target,TD Ameritrade,咨询委员会,家得宝,先锋集团, Trainline,特灵,美国nk,Veritas,Verizon,Wells Fargo,Zendesk和Zephyr Health。

1. BSIMM分数反映了在评估公司的软件安全计划期间观察到的软件安全活动的总数。 每一活动只值一分,BSIMM框架包括113项活动。

2.资料来源:Gartner,“建立和成熟应用程序安全程序的指导框架”,23年2016月XNUMX日,Michael Isbitski和Ramon。

关于BSIMM
从2008年开始,成熟的建筑物安全模型(BSIMM)是一种用于评估和评估软件安全计划的工具。 BSIMM是通过仔细研究和分析软件安全性计划而开发的一种数据驱动的模型和度量工具,其中包含来自100多个组织的真实数据。 BSIMM是一个开放标准,包括基于软件安全性实践的框架,组织可以使用该框架来评估自己在软件安全性方面的工作。 有关更多信息,请访问 https://www.bsimm.com.

关于Synopsys软件完整性平台
Synopsys为在软件开发生命周期和供应链中建立完整性(安全性和质量)提供了最全面的解决方案。 软件完整性平台将领先的测试技术,自动化分析和专家结合在一起,以创建强大的产品和服务组合。 该产品组合使公司能够开发个性化的程序,以在开发过程的早期检测并修复缺陷和漏洞,从而最大程度地降低风险并提高生产率。 Synopsys是应用程序安全测试的公认领导者,具有独特的优势,可以将最佳实践适应和应用到IoT,DevOps,CI / CD和云等新技术和趋势。 有关更多信息,请访问 www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###