發佈於

編者簡介:如果要在組織中運行DevOps,則必須同時確保軟件質量和安全性,尤其是針對當今入侵每個節點,軟件或系統的威脅參與者。 BSIMM(在成熟度模型中構建安全性)的第11版或BSIMM11反映了來自金融服務,金融科技,ISV,雲,醫療保健,物聯網和零售等行業的130家公司的地形圖。 供應商的新聞發佈如下。

Synopsys發布BSIMM11研究報告,重點介紹響應DevOps和數字轉換的軟件安全計劃的根本轉變

em>“構建成熟度安全模型”的第11次迭代反映了組織如何調整其軟件安全性工作以支持現代軟件開發範例

新加坡,@mcgallen#microwire資訊,16年2020月XNUMX日 - 新思科技有限公司 (納斯達克股票代碼:SNPS)今天發布 BSIMM11,最新版本的 在成熟度模型(BSIMM)中構建安全性,旨在幫助組織計劃,執行,衡量和改進其軟件安全計劃(SSI)。 BSIMM11反映了來自130個不同行業垂直行業的公司的軟件安全實踐,這些行業包括金融服務,金融科技,獨立軟件供應商,雲,醫療保健,物聯網,保險和零售。 BSIMM11描述了8,457名軟件安全專業人員的工作,這些工作指導了490,000多名開發人員的工作。

組織將BSIMM用作衡量工具,將自己的計劃與來自更廣泛的BSIMM社區的數據進行比較和對比。 BSIMM11表明,許多組織正在調整其軟件安全性工作,以支持數字轉換和DevOps之類的現代軟件開發範例。

“對於那些有興趣從同行的集體經驗中學習,特別是解決新的或正在出現的挑戰的安全領導者來說,BSIMM是一個極好的資源。” 邁克·紐伯恩是BSIMM社區的成員組織,海軍聯邦信用聯盟的CISO。 如今,大多數組織在快速發展和加速的軟件開發實踐的背景下面臨著確保不斷增長的應用程序組合的挑戰。 BSIMM11反映了其中許多組織正在調整其軟件安全策略,以保護自己和客戶,而不會扼殺創新或妨礙開發速度。”

BSIMM11的新興趨勢

  • 以工程為主導的軟件安全性工作正在成功地推動DevOps的價值流,以追求彈性。 BSIMM11表明,CI / CD儀器和操作流程已成為許多組織的軟件安全計劃的標準組成部分,並且正在影響它們的組織,設計和執行方式。 例如,軟件安全團隊越來越多地向技術小組或CTO匯報工作(而不是IT安全團隊或CISO),並且正在改變內部招募和組織人才的方式。
  • 軟件定義的安全治理不再只是抱負。 組織正在使用由CI / CD管道執行中的事件觸發的自動化活動來代替一些高摩擦性的帶外安全活動。 將人員流程和決策轉換為算法是組織越來越多地解決資源約束和節奏管理問題的方法之一。 
  • “左移”正變成“無處不在”。 “左移”概念的實現已從在開發週期中較早執行一些安全測試的字面解釋演變為在有待檢查的工件可用時立即執行安全活動。 這可能意味著在歷史上已執行活動的位置的左側,但通常是在右側(包括生產中)。
  • 向BSIMM數據池引入垂直的金融科技。 在仔細審查了金融領域中不斷增長的公司數據池後,很明顯,有必要添加一個單獨的垂直領域來說明有效地是專門針對金融服務軟件的ISV的公司。

BSIMM的合著者兼Synopsys技術高級總監Michael Ware表示:“現代軟件的構建和部署方式在過去幾年中發生了巨大變化,因此保護軟件的工作也自然在發生著變化。” “企業非常依賴軟件,現代方法論加快了開發速度。 結果,到處都有更多的軟件,我們仍然需要擔心所有先前存在的軟件。 作為一個不斷發展的模型,它代表著全球數百個軟件安全組織(包括世界上一些最先進的團隊)正在使用的實際實踐,BSIMM提供了近實時的視圖,以了解這些變化的發生方式實施以保護不斷增長的軟件產品組合。”

BSIMM中的新活動代表著向DevSecOps的轉變

在過去的一年中,添加到BSIMM10中的三個活動取得了驚人的增長(SM3.4集成了軟件定義的生命週期治理,AM3.3 Monitor自動資產創建,CMVM3.5 Automation驗證操作基礎架構安全性)。 這反映了一些組織如何積極努力加速軟件安全性工作,以適應軟件交付的速度。 此外,BSIMM11中添加的兩個活動代表了這一趨勢的延續(ST3.6實施事件驅動的安全測試,CMVM3.6發布可部署工件的風險數據)。

BSIMM跨行業

BSIMM提供了獨特的,數據驅動的見解,以了解和比較各個行業中軟件安全計劃的相對優勢和劣勢。 雲,物聯網和高科技公司是BSIMM11數據池中最成熟的三個垂直行業。 BSIMM11還著重強調了三個受到嚴格監管的行業之間的差異:金融服務,醫療保健和保險。 與醫療保健和保險行業相比,金融服務行業擁有比其他行業更早的軟件安全組,因此人們擁有更為成熟的實踐。 BSIMM首次展示了金融科技行業的數據,發現它與金融服務的追踪非常緊密,主要的差異(有利於金融科技)出現在培訓,安全測試和代碼審查實踐中。

閱讀 BSIMM11摘要 或下載完整版 BSIMM11研究.

要實時討論BSIMM11中的關鍵發現,請註冊我們的15月XNUMX日在線講座, BSIMM11:DevSecOps的演進

致謝

Synopsys的首席科學家Sammy Migues,Synopsys的技術高級總監Michael Ware和Aedify Security的創始負責人John Steven在分析了近11年的軟件安全性研究收集的數據後,編寫了BSIMM12。 參與BSIMM研究的公司包括:Adobe,Aetna,阿里巴巴,Ally Bank,Autodesk,Axway,美國銀行,貝爾,BMO金融集團,Black Knight Financial Services,Box,加拿大帝國商業銀行,城市國家銀行,思科,花旗集團,大華銀行,美國存託信託與結算公司,禮來,Equifax,益百利,F-Secure,房利美,房地美,通用電氣,Genetec,全球支付,HCA Healthcare,Highmark Health Solutions,霍尼韋爾,Horizo​​n Healthcare Services ,匯豐銀行,iPipeline,強生,摩根大通公司,聯想,MassMutual,麥凱森,美敦力,晨星,Navient,海軍聯邦信用合作社,NCR,NEC平台,NetApp,NewsCorp,NVIDIA,PayPal,Pegasystems,Principal Financial Group ,加拿大皇家銀行,SambaSafety,ServiceNow,Synopsys,TD Ameritrade,家得寶,先鋒集團,Trainline,特靈,美國銀行,Veritas,Verizon,Verizon Media,Wells Fargo和Zendesk。

關於BSIMM

從2008年開始,成熟的建築物安全模型(BSIMM)是一種用於創建,評估和評估軟件安全計劃的工具。 BSIMM200是通過仔細研究和分析11多個軟件安全計劃而開發的一種數據驅動的模型和度量工具,其中包含來自130個組織的當前,真實世界的數據。 BSIMM是一個開放標準,其中包括基於軟件安全性實踐的框架,組織可以使用該框架來評估和完善自己在軟件安全性方面的工作。 有關更多信息,請訪問 www.bsim.com.

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###