發佈於

成熟度模型中建築物安全性的最新迭代首次在亞太地區發布,顯示出越來越多的組織通過評估和逐步改進來啟動其軟件安全性計劃

新加坡,@mcgallen#microwire資訊,9年2017月XNUMX日– 新思科技有限公司 (納斯達克股票代碼:SNPS)已發布 BSIMM8,這是領先的軟件安全性成熟度模型的最新版本,該模型基於實際數據,可幫助組織計劃,執行和評估其軟件安全性計劃(SSI)。 建築物安全性成熟度模型(BSIMM)的第八次迭代是在亞太地區首次發布,它是基於迄今為止最大的社區收集的數據。 BSIMM8表明,隨著越來越多的組織在SSI生命週期的早期對他們的工作進行基準測試,並策略性地使用結果來改善其隨著時間的風險狀況,軟件安全性已成為至關重要的業務重點。 要下載報告,請訪問 https://www.bsimm.com/download.html.

“隨著針對易受攻擊的軟件的廣泛分佈和破壞性攻擊的興起,我們看到了從被動的“滲透和修補”方法向更具主動性的策略轉變,這種策略使組織能夠從頭開始系統地構建安全軟件。” Synopsys安全技術副總裁Gary McGraw。 “組織開始認識到,他們可以通過建立軟件安全計劃,通過BSIMM之類的工具儘早評估其優勢和劣勢,並將精力集中在最合適的做法和活動上,從而更有效地減輕風險。”

BSIMM8包括從109家公司收集的數據,並描述了4,769名軟件安全專業人員的工作,展示了軟件安全最佳實踐背後的科學。 他們的工作指導並擴大了大約300,000個應用程序中近95,000個開發人員的安全工作。 BSIMM8公司代表了垂直行業,包括金融服務,獨立軟件供應商(ISV),雲,醫療保健,物聯網(IoT)和保險。

BSIMM8研究的主要發現:

  • 組織使用BSIMM來啟動其SSI。 BSIMM8在SSI生命週期的早期階段引入了公司,這可以從以下方面得到證明:平均成熟度評分1(從BSIMM33.1的33.9下降到7,從BSIMM3.88的3.94下降到從7的平均下降)。 BSIMM人口。 SSI基準測試是軟件安全之旅中關鍵的第一步。
  • BSIMM公司隨著時間而成熟。 參加過多個BSIMM評估的公司顯示出明顯的改善趨勢,其得分平均增加10.3,即33.4%。 基準測試是一種有效的做法,可以指導組織沿著最佳途徑持續構建安全軟件。
  • 成熟度因行業而異。 每個行業都將某些活動置於其他活動的優先位置,並且每個行業和單個組織在構建安全性方面都有不同的途徑。平均而言,雲計算,金融服務和ISV公司比醫療保健,物聯網和保險公司更成熟。 金融服務和雲計算公司在合規性和策略實踐方面得分較高,而物聯網公司則擁有最成熟的軟件環境實踐。

根據Gartner的說法,“應用程序安全性需要一種結構化的程序化方法,以應對看似混亂的新技術和不斷發展的威脅態勢。 成功的應用程序安全程序必須是人員,流程和技術的平衡組合。” 2

BSIMM觀察已經建立了真正的軟件安全性計劃的公司,量化了113項活動的發生,以顯示許多計劃共有的共同點以及使每個計劃獨特的變化。 BSIMM數據顯示,高度成熟的計劃是全面的-在該模型描述的所有12種實踐中都進行了大量活動。 組織可以使用BSIMM比較計劃並確定哪些其他活動可能有用。

致謝
McGraw博士與Synopsys的首席科學家Sammy Migues以及NetSuite的首席架構師Jacob West共同分析了過去XNUMX年的軟件安全性研究收集的數據。 參與評估的公司包括:Adobe,Aetna,Amgen,ANDA,Autodesk,Axway,美國銀行,必發,BMO金融集團,黑騎士金融服務,Box,加拿大帝國商業銀行,第一資本,城市國家銀行,思科,花旗集團,公民銀行,美利堅銀行,密碼學研究(Rambus的一個部門),戴爾EMC,存款信託與清算公司,Elavon,Ellucian,Epsilon,Experian,F-Secure,Fannie Mae,Fidelity,Freddie Mac,General Electric, Genetec,Highmark Health Solutions,Horizo​​n Healthcare,Services,Inc.,HPE Fortify,HSBC,Independent Health,iPipeline,JPMorgan Chase&Co.,Lenovo,LinkedIn,McKesson,Medtronic,Morntronicstar,Navient,NetApp,NVIDIA,NXP Semiconductors NV,Oracle NSGBU,PayPal,首席金融集團,高通,加拿大皇家銀行,科學遊戲,西門子,索尼移動,Splunk,賽門鐵克,Synopsys SIG,Target,TD Ameritrade,諮詢委員會,家得寶,先鋒集團, Trainline,特靈,美國nk,Veritas,Verizon,Wells Fargo,Zendesk和Zephyr Health。

1. BSIMM分數反映了在評估公司的軟件安全計劃期間觀察到的軟件安全活動的總數。 每一活動只值一分,BSIMM框架包括113項活動。

2.資料來源:Gartner,“建立和成熟應用程序安全程序的指導框架”,23年2016月XNUMX日,Michael Isbitski和Ramon。

關於BSIMM
從2008年開始,成熟的建築物安全模型(BSIMM)是一種用於評估和評估軟件安全計劃的工具。 BSIMM是通過仔細研究和分析軟件安全性計劃而開發的一種數據驅動的模型和度量工具,其中包含來自100多個組織的真實數據。 BSIMM是一個開放標準,其中包括基於軟件安全性實踐的框架,組織可以使用該框架來評估自己在軟件安全性方面的工作。 有關更多信息,請訪問 https://www.bsimm.com.

關於Synopsys軟件完整性平台
Synopsys為在軟件開發生命週期和供應鏈中建立完整性(安全性和質量)提供了最全面的解決方案。 軟件完整性平台將領先的測試技術,自動化分析和專家結合在一起,以創建強大的產品和服務組合。 該產品組合使公司能夠開發個性化的程序,以在開發過程的早期檢測並修復缺陷和漏洞,從而最大程度地降低風險並提高生產率。 Synopsys是應用程序安全測試的公認領導者,具有獨特的優勢,可以將最佳實踐適應和應用到IoT,DevOps,CI / CD和雲等新技術和趨勢。 有關更多信息,請訪問 www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###