發佈於

編者按:美國開國元勳之一、博學多才的本傑明·富蘭克林曾說過,“告訴我,我忘記,教我,我可能記得,但讓我參與,我學習”。 同樣,在 DevOps 和網絡安全日益複雜的世界中,新出現和持續存在的威脅是巨大的,從一開始就設計正確和安全的軟件的“左移”範式非常有意義。 那麼,我們可以從 128 個傑出組織的最佳實踐中以 BSIMM12(成熟度模型中的構建安全性)的形式學習和採用什麼,現在正在運行第 12 版? 供應商的版本如下。

Synopsys 發布 BSIMM12 研究,強調開源、雲和容器安全工作的顯著增長

構建成熟安全模型的第 12 次迭代反映了備受矚目的勒索軟件和軟件供應鏈中斷,推動了對軟件安全的更多關注。

新加坡,@mcgallen#microwire資訊,29年2021月XNUMX日 - 新思科技有限公司 (納斯達克股票代碼:SNPS)今天發布 BSIMM12,最新版本的 在成熟度模型(BSIMM)中構建安全性 報告,旨在幫助組織計劃、執行、衡量和改進其軟件安全計劃。 BSIMM12 反映了在金融服務、金融科技、獨立軟件供應商、雲、醫療保健和物聯網等多個垂直行業的 128 家公司中觀察到的軟件安全實踐。 BSIMM12 描述了近 3,000 名軟件安全小組成員和 6,000 多名衛星成員的工作。 BSIMM 被全球各地的組織用作衡量標準,將他們自己的計劃與來自更廣泛 BSIMM 社區的數據進行比較和對比。

BSIMM12 數據表明,過去兩年軟件安全組織對開源的識別和管理增加了 61%,這幾乎可以肯定是由於現代軟件中開源組件的盛行以及使用流行開源項目作為載體的攻擊的興起。

與雲平台和容器技術相關的活動的增長表明,這些技術對組織如何使用和保護軟件產生了巨大影響。 例如,在過去兩年中,對“容器和虛擬化環境使用編排”的觀察增加了 560%。

“在過去的 18 個月中,組織經歷了數字化轉型計劃的大幅加速。 這導致越來越多地採用軟件定義的方法來部署和管理軟件環境和雲技術堆棧,”BSIMM 社區成員組織 Navy Federal Credit Union 的信息安全負責人 Mike Ware 說。 “鑑於這些變化的複雜性和速度,對於安全團隊來說,擁有工具讓他們了解自己的立場並為下一步應該轉向的方向提供參考從未如此重要。 BSIMM 是用於實現此目的的管理工具。 BSIMM 提供了一個獨特的視角,可以了解組織如何改變實施軟件定義的安全功能(如策略即代碼)的策略,以與現代軟件開發原則和實踐保持一致。”

“BSIMM 研究允許組織對他們當前的安全實踐進行基準測試,以便他們可以確定優先事項並保持觀點以應對安全領域的新興趨勢,”Genetec Inc. 的首席安全架構師 Mathieu Chevalier 說,該公司是該組織的成員組織。 BSIMM 社區。 “BSIMM 的描述性模型可幫助組織確定如何開始構建軟件安全計劃並使其有效成熟。 BSIMM12 對共擔責任模型的觀察尤其應鼓勵安全領導者考慮他們如何發展以應對和減輕其安全戰略中的任何潛在差距。”

“BSIMM 研究在獲取行業最佳實踐方面非常一致。 它可用於了解在多個開發團隊中觀察到的各種開發安全活動的成熟度,”BSIMM 社區成員組織 Landis+Gyr 的 CISO Todd Wiedman 說。 “隨著軟件開發實踐的迅速加速,BSIMM12 數據說明了安全開發計劃中發生的實際變化。 有了這些信息,組織可以調整自己的策略來保護他們的組織和客戶,而不會抑制創新。”

“作為我們產品和數據安全計劃的一部分,我們一直在使用 BSIMM 框架來幫助我們推進我們的安全戰略,”BSIMM 社區成員組織 Finastra 的產品和數據安全計劃總監 Vinod Raghavan 說。 “它有助於我們與金融服務和其他行業的其他組織進行基準比較,支持安全成熟度。”

BSIMM12的新興趨勢

  • 備受矚目的勒索軟件和軟件供應鏈中斷正促使人們越來越關注軟件安全。 在過去兩年中,BSIMM 數據顯示,參與組織的“識別開源”活動增加了 61%,“創建 SLA 樣板”活動增加了 57%。
  • 企業正在學習如何將風險轉化為數字。 組織正在付出更多的努力來收集和發布他們的軟件安全計劃數據,過去 30 個月“在內部發布有關軟件安全的數據”活動增加了 24% 就證明了這一點。
  • 增強雲安全功能。 行政人員的關注增加,可能與工程驅動的努力相結合,也導致組織開發自己的管理雲安全和評估其共同責任模型的能力。 在過去兩年中,在通常與雲安全相關的活動中平均有 36 項新觀察結果。
  • 安全團隊正在為 DevOps 實踐提供資源、人員和知識。BSIMM 數據顯示軟件安全小組從強制軟件安全行為轉向合作夥伴角色——為 DevOps 實踐提供資源、人員和知識,目標是將安全工作納入軟件交付的關鍵路徑。
  • 軟件物料清單活動增加了 367%。 BSIMM 數據顯示專注於盤點軟件的功能有所增加; 創建軟件物料清單 (BOM); 了解軟件是如何構建、配置和部署的; 並提高組織基於安全遙測重新部署的能力。 表明許多組織已經重視對全面、最新的軟件 BOM 的需求,與這些功能相關的 BSIMM 活動(“通過運營物料清單增強應用程序庫存”)在過去從 3 次觀察到的增加到 14 次兩年——增長了 367%。
  • “左移”發展為“到處轉移”。 “左移”的概念側重於在開發過程的早期移動安全測試。 “無處不在”將安全測試擴展到在整個軟件生命週期中持續進行,包括儘早進行更小、更快、管道驅動的安全測試,這可能是在設計階段,甚至在生產階段。

從維護傳統的運營庫存轉向自動化資產發現和創建物料清單包括添加“隨處移動”活動,例如使用容器來實施安全控制、編排和掃描基礎設施即代碼。 BSIMM 對諸如“通過運營物料清單增強應用程序庫存”、“為容器和虛擬化環境使用編排”以及“監控自動化資產創建”等活動的更高觀察率都證明了這一趨勢。

“自 2008 年以來,BSIMM 諮詢、研究和數據專家一直在收集有關組織為應對軟件安全挑戰所採取的不同途徑的數據,”Synopsys 軟件完整性小組總經理 Jason Schmitt 說。 “平均年齡為 4.4 歲,BSIMM 參與組織的軟件安全計劃反映了組織如何調整其方法以應對現代開發和部署實踐的新動態。 有了這些信息,組織就可以調整自己的策略來保護他們的組織和客戶,而不會抑制創新。”

要了解更多信息,請下載 BSIMM12 洞察和趨勢. 對於 BSIMM12 中的主要發現的交互式討論, 註冊我們 21 月 XNUMX 日的網絡研討會.

致謝

Synopsys 首席科學家 Sammy Migues、Synopsys 管理負責人 Eli Erlikhman、Synopsys 首席安全顧問 Jacob Ewers 和 Gemini 應用程序安全主管 Kevin Nassery 在分析了近 12 年軟件安全研究收集的數據後,編寫了 BSIMM13。 參與 BSIMM 研究的部分公司包括:AARP、Adobe、Aetna、阿里巴巴、Ally Bank、Autodesk、Axway、美國銀行、貝爾、Black Knight Financial Services、加拿大帝國商業銀行、思科、花旗集團、存託信託和清算公司、禮來、eMoney Advisor、EQ Bank、Equifax、F-Secure、房利美、Finastra、房地美、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、霍尼韋爾、匯豐銀行、iPipeline、強生、Landis+ Gyr、聯想、MassMutual、McKesson、Medtronic、MediaTek、Morningstar、Navient、Navy Federal Credit Union、NCR、NEC Platforms、NetApp、NewsCorp、NVIDIA、Oppo、PayPal、Pegasystems、Principal Financial Group、RB、SambaSafety、ServiceNow、Synopsys、 TD Ameritrade、Teradata、The Home Depot、Vanguard Group、Trainline、Trane、美國銀行、Veritas、Verizon Media。

關於BSIMM

從2008年開始,成熟的建築物安全模型(BSIMM)是一種用於創建,評估和評估軟件安全計劃的工具。 BSIMM200是通過仔細研究和分析11多個軟件安全計劃而開發的一種數據驅動的模型和度量工具,其中包含來自128個組織的當前,真實世界的數據。 BSIMM是一個開放標準,其中包括基於軟件安全性實踐的框架,組織可以使用該框架來評估和完善自己在軟件安全性方面的工作。 有關更多信息,請訪問 www.bsim.com.

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為S&P 500公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領先地位,擁有悠久的歷史,並提供業界最廣泛的應用程序安全測試工具和服務組合。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫更安全,高質量代碼的軟件開發人員,Synopsys都能提供交付創新產品所需的解決方案。 了解更多 www.synopsys.com.

###