发表于

编辑简介:如果要在组织中运行DevOps,则必须同时确保软件质量和安全性,尤其是针对当今入侵每个节点,软件或系统的威胁参与者。 BSIMM(在成熟度模型中构建安全性)的第11版或BSIMM11反映了来自金融服务,金融科技,ISV,云,医疗保健,物联网和零售等行业的130家公司的地形图。 供应商的新闻发布如下。

Synopsys发布BSIMM11研究报告,重点介绍响应DevOps和数字转换的软件安全计划的根本性转变

em>“构建成熟度中的安全性模型”的第11次迭代反映了组织如何调整其软件安全性工作以支持现代软件开发范例

新加坡,@mcgallen#microwire资讯,16年2020月XNUMX日 - Synopsys,Inc. (纳斯达克股票代码:SNPS)今天发布 BSIMM11,最新版本 在成熟度模型(BSIMM)中构建安全性,旨在帮助组织计划,执行,衡量和改进其软件安全计划(SSI)。 BSIMM11反映了来自130个不同行业垂直行业的公司的软件安全实践,这些行业包括金融服务,金融科技,独立软件供应商,云,医疗保健,物联网,保险和零售。 BSIMM11描述了8,457名软件安全专业人员的工作,这些工作指导了490,000多名开发人员的工作。

组织将BSIMM用作衡量工具,以将自己的计划与来自更广泛的BSIMM社区的数据进行比较和对比。 BSIMM11表明,许多组织正在调整其软件安全性工作,以支持数字转换和DevOps之类的现代软件开发范例。

“对于那些有兴趣从同行的集体经验中学习,尤其是解决新的或正在出现的挑战的安全领导者来说,BSIMM是一个极好的资源。” 迈克·纽伯恩是BSIMM社区的成员组织,海军联邦信用联盟的CISO。 “当今,大多数组织在快速发展和加速的软件开发实践的背景下面临着确保不断增长的应用程序组合的挑战。 BSIMM11反映了这些组织中有多少组织正在调整其软件安全策略,以保护自己和客户,而不会扼杀创新或阻碍开发速度。”

BSIMM11的新兴趋势

  • 以工程为导向的软件安全性工作正在成功地推动DevOps的价值流,以追求弹性。 BSIMM11表明,CI / CD仪器和操作流程已成为许多组织的软件安全计划的标准组成部分,并且正在影响它们的组织,设计和执行方式。 例如,软件安全团队越来越多地向技术小组或CTO汇报工作(而不是IT安全团队或CISO),并且正在改变内部招募和组织人才的方式。
  • 软件定义的安全治理不再只是抱负。 组织正在使用由CI / CD管道执行中的事件触发的自动化活动来代替一些高摩擦性的带外安全活动。 将人员流程和决策转换为算法是组织越来越多地解决资源约束和节奏管理问题的方法之一。 
  • “左移”正变成“无处不在”。 “左移”概念的实现已从在开发周期中较早执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。 这可能意味着在历史上已执行活动的位置的左侧,但通常是在右侧(包括生产中)。
  • 向BSIMM数据池引入垂直的金融科技。 在仔细审查了金融行业中不断增长的公司数据池后,很明显,有必要添加一个单独的行业来说明有效地是专门针对金融服务软件的ISV的公司。

BSIMM的合著者兼Synopsys技术高级总监Michael Ware表示:“现代软件的构建和部署方式在过去几年中发生了巨大变化,因此保护软件的工作也自然在发生着变化。” “企业非常依赖软件,而现代方法论加快了开发速度。 结果,到处都有更多的软件,我们仍然需要担心所有先前存在的软件。 作为一个不断发展的模型,它代表着全球数百个软件安全组织(包括世界上一些最先进的团队)正在使用的实际实践,BSIMM提供了近实时的视图,以了解这些变化的发生方式实施以保护不断增长的软件产品组合。”

BSIMM中的新活动代表着向DevSecOps的转变

在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4集成了软件定义的生命周期治理,AM3.3 Monitor自动创建资产,CMVM3.5 Automation验证操作基础架构安全性)。 这反映了一些组织如何积极努力加速软件安全性工作,以适应软件交付的速度。 此外,BSIMM11中添加的两个活动代表了这一趋势的延续(ST3.6实施事件驱动的安全测试,CMVM3.6发布可部署工件的风险数据)。

BSIMM跨行业

BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。 云,物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。 BSIMM11还着重强调了三个受到严格监管的行业之间的差异:金融服务,医疗保健和保险。 与医疗保健和保险行业相比,金融服务行业拥有比其他行业更早的软件安全组,因此人们拥有更为成熟的实践。 BSIMM首次展示了金融科技行业的数据,发现它与金融服务的追踪非常紧密,主要的差异(有利于金融科技)出现在培训,安全测试和代码审查实践中。

阅读 BSIMM11摘要 或下载完整版 BSIMM11研究.

要实时讨论BSIMM11中的关键发现,请注册15月XNUMX日的在线讲座, BSIMM11:DevSecOps的演变

致谢

Synopsys的首席科学家Sammy Migues,Synopsys的技术高级主管Michael Ware和Aedify Security的创始负责人John Steven在分析了近11年的软件安全性研究收集的数据后,编写了BSIMM12。 参与BSIMM研究的公司包括:Adobe,Aetna,阿里巴巴,Ally Bank,Autodesk,Axway,美国银行,贝尔,BMO金融集团,Black Knight Financial Services,Box,加拿大帝国商业银行,城市国家银行,思科,花旗集团,大华银行,美国存托信托与结算公司,礼来,Equifax,益百利,F-Secure,房利美,房地美,通用电气,Genetec,全球支付,HCA Healthcare,Highmark Health Solutions,Honeywell,Horizo​​n Healthcare Services ,汇丰银行,iPipeline,强生,摩根大通公司,联想,MassMutual,麦凯森,美敦力,晨星,Navient,海军联邦信用合作社,NCR,NEC平台,NetApp,NewsCorp,NVIDIA,PayPal,Pegasystems,Principal Financial Group ,加拿大皇家银行,SambaSafety,ServiceNow,Synopsys,TD Ameritrade,家得宝,先锋集团,Trainline,特灵,美国银行,Veritas,Verizon,Verizon Media,Wells Fargo和Zendesk。

关于BSIMM

从2008年开始,成熟的建筑物安全性模型(BSIMM)是用于创建,评估和评估软件安全性计划的工具。 BSIMM200是通过仔细研究和分析11多个软件安全计划而开发的一种数据驱动的模型和度量工具,它包含来自130个组织的当前,真实世界的数据。 BSIMM是一个开放标准,其中包括基于软件安全性实践的框架,组织可以使用该框架来评估和完善自己在软件安全性方面的工作。 有关更多信息,请访问 www.bsim.com.

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###