发表于

新加坡,@mcgallen#microwire信息,19年2019月XNUMX日– Synopsys,Inc. (纳斯达克: SNPS)今天发布 BSIMM10,最新版本的建筑物安全性成熟度模型(BSIMM),旨在帮助组织计划,执行,完善和评估其软件安全性计划(SSI)。 在过去的十年中,Synopsys在450家公司中使用了近185次BSIMM,并且第十次迭代反映了在10家公司中观察到的软件安全活动。 BSIMM122还重点介绍了DevOps对软件安全性计划的影响,新一波的工程驱动的安全性工作的兴起以及公司如何在软件安全性成熟度的三个阶段中前进。 要下载报告,请访问 www.bsim.com/download.html.


“自2008年以来,BSIMM一直是了解各种规模和规模的组织(包括世界上最先进的安全团队)如何执行其软件安全策略的有效工具,”企业信息主管Jim Routh说道。 MassMutual的风险管理。 “当前的BSIMM数据反映了有多少组织正在调整其方法来应对现代开发和部署实践的新动态,例如更短的发布周期,更多的自动化使用和软件定义的基础架构。”

BSIMM10描述了7,900名软件安全专业人员的工作,他们的工作指导并最大化了将近470,000开发人员在173,000多个应用程序上的安全工作。 BSIMM10代表行业垂直领域的公司,包括金融服务,高科技,独立软件供应商(ISV),云,医疗保健,物联网(IoT),保险和零售。

BSIMM10研究的主要发现:

  • DevOps对软件安全性的影响: BSIMM数据显示,DevOps的发展以及持续集成和持续交付(CI / CD)工具的采用正在影响公司处理软件安全性的方式。 BSIMM增加了三个新活动,可以看出这一点,这些活动反映了公司如何积极致力于自动化安全活动,以使其业务向市场交付功能的速度与之匹配。 BSIMM10还包括更新的描述和现有活动的示例,以反映它们如何作为现代DevOps组织的一部分进行实施。
  • 工程驱动的安全文化新潮流: BSIMM10是第一项正式反映SSI文化变化的研究,在新一波的工程主导的软件安全工作浪潮中观察到,BSIMMXNUMX源于开发和运营团队的自下而上,而不是集中式软件安全小组的自上而下。 在一些组织中,以工程为主导的安全文化克服了建立和发展有意义的软件安全工作的艰辛。 工程驱动的新安全文化浪潮正在出现,以响应现代软件交付实践(如敏捷和DevOps)的需求以及与现有SSI的不希望有的摩擦。
  • 公司使用BSIMM来导航他们的软件安全历程: BSIMM10是第一版,它定义了SSI成熟度的三个阶段(新兴,成熟,优化),并描述了不同公司通常如何通过它们发展。 BSIMM数据显示,随着时间的推移,组织将显着改善,许多组织都达到了一定的成熟度,他们专注于所进行活动的深度,广度和规模,而不是总是努力进行更多活动。

Synopsys首席科学家Sammy Migues说:“领导一个有效的软件安全计划是一项挑战,而DevOps和CI / CD带来的巨大技术和组织变革并没有使这项任务变得更加容易。 “作为一种不断发展以反映全球数百个软件安全小组的经验的工具,无论您是刚刚开始旅程,寻求优化程序还是应对新挑战,BSIMM及其社区都是宝贵的资源。 。”

BSIMM包括从已建立实际SSI的公司收集的数据,量化了119种活动的发生,以显示许多计划共有的共同点以及使每个计划独特的变化。 BSIMM数据显示,高度成熟的计划是全面的,在该模型描述的所有12种实践中都开展了许多活动。 组织可以使用BSIMM比较计划,并确定哪些其他活动可能对支持其总体战略有用。

致谢
Synopsys的首席科学家Sammy Migues,Synopsys的常务董事Michael Ware和ZeroNorth的首席技术官John Steven都是BSIMM10的作者,他对过去11年的软件安全性研究收集的数据进行了分析。 参与BSIMM研究的一些公司包括:Adobe,Aetna,阿里巴巴,Ally Bank,Amadeus,Amgen,Autodesk,Axway,美国银行,Betfair,BMO金融集团,Black Duck Software,Black Knight Financial Services,Box,加拿大帝国商业银行,第一资本,城市国家银行,思科,花旗集团,公民银行,美国银行,大华,存款信托与清算公司,礼来,Ellucian,Experian,F-Secure,Fannie Mae,Fidelity,房地美,一般电气,Genetec,全球支付,HCA Healthcare,Highmark Health Solutions,Horizo​​n Healthcare Services,汇丰,iPipeline,强生,摩根大通公司,联想,LGE,McKesson,Medtronic,Morntronic,Navient,NCR,NetApp,News Corp ,NVIDIA,PayPal,首席金融集团,加拿大皇家银行,科学游戏,Synopsys软件完整性集团,TD Ameritrade,家得宝,先锋集团,Trainline,特灵,美国银行,Veritas,Verizon,Wells Fargo和Zendesk。

关于BSIMM
从2008年开始,成熟的建筑物安全模型(BSIMM)是一种用于评估和评估软件安全计划的工具。 BSIMM是通过仔细研究和分析软件安全性计划而开发的数据驱动模型和度量工具,它包含来自120多个组织的真实数据。 BSIMM是一个开放标准,其中包括基于软件安全性实践的框架,组织可以使用该框架来评估自己在软件安全性方面的工作。 有关更多信息,请访问 www.bsim.com.

关于Synopsys软件完整性小组 
Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 借助行业领先的工具,服务和专业知识的组合,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 https://www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 https://www.synopsys.com/.

###