發佈於

新加坡,@mcgallen#microwire信息,19年2019月XNUMX日– 新思科技有限公司 (納斯達克股票代碼: SNPS)今天發布 BSIMM10,最新版本的建築物安全性成熟度模型(BSIMM),旨在幫助組織計劃,執行,完善和評估其軟件安全性計劃(SSI)。 在過去的十年中,Synopsys在450家公司中使用了近185次BSIMM,並且第十次迭代反映了在10家公司中觀察到的軟件安全活動。 BSIMM122還重點介紹了DevOps對軟件安全性計劃的影響,新一波的工程驅動的安全性工作的興起以及公司如何在軟件安全性成熟度的三個階段中前進。 要下載報告,請訪問 www.bsim.com/download.html.


“自2008年以來,BSIMM一直是了解各種規模和規模的組織(包括世界上最先進的安全團隊)如何執行其軟件安全策略的有效工具,”企業信息主管Jim Routh說道。 MassMutual的風險管理。 “當前的BSIMM數據反映出有多少組織正在調整其方法來應對現代開發和部署實踐的新動態,例如更短的發布週期,增加的自動化使用和軟件定義的基礎架構。”

BSIMM10描述了7,900名軟件安全專業人員的工作,他們的工作指導並最大化了將近470,000開發人員在173,000多個應用程序上的安全工作。 BSIMM10代表行業垂直領域的公司,包括金融服務,高科技,獨立軟件供應商(ISV),雲,醫療保健,物聯網(IoT),保險和零售。

BSIMM10研究的主要發現:

  • DevOps對軟件安全性的影響: BSIMM數據顯示,DevOps的發展以及持續集成和持續交付(CI / CD)工具的採用正在影響公司處理軟件安全性的方式。 BSIMM增加了三個新活動,可以看出這一點,這些活動反映了公司如何積極致力於自動化安全活動,以使其業務向市場交付功能的速度與之匹配。 BSIMM10還包括更新的描述和現有活動的示例,以反映它們如何作為現代DevOps組織的一部分進行實施。
  • 工程驅動的安全文化新潮流: BSIMM10是第一項正式反映SSI文化變化的研究,在新一波的工程主導的軟件安全工作浪潮中觀察到,BSIMMXNUMX源於開發和運營團隊的自下而上,而不是集中式軟件安全小組的自上而下。 在一些組織中,以工程為主導的安全文化克服了建立和發展有意義的軟件安全工作的艱辛。 工程驅動的新安全文化浪潮正在出現,以響應諸如敏捷和DevOps之類的現代軟件交付實踐的需求以及與現有SSI的不希望有的摩擦。
  • 公司使用BSIMM來導航他們的軟件安全歷程: BSIMM10是第一版,它定義了SSI成熟度的三個階段-新興,成熟,優化-並描述了不同公司通常如何通過它們發展。 BSIMM數據顯示,隨著時間的推移,組織將顯著改善,許多組織都達到了一定的成熟度,他們專注於所進行活動的深度,廣度和規模,而不是總是努力進行更多活動。

Synopsys首席科學家Sammy Migues說:“領導一個有效的軟件安全計劃具有挑戰性,DevOps和CI / CD帶來的巨大技術和組織變革並未使這項任務變得更加容易。 “作為一種不斷發展以反映全球數百個軟件安全團隊的經驗的工具,無論您是剛剛開始旅程,尋求優化程序還是應對新挑戰,BSIMM及其社區都是寶貴的資源。”

BSIMM包括從已建立實際SSI的公司收集的數據,量化了119種活動的發生,以顯示許多計劃共有的共同點以及使每個計劃獨特的變化。 BSIMM數據顯示,高度成熟的計劃是全面的,在該模型描述的所有12種實踐中都開展了許多活動。 組織可以使用BSIMM比較計劃並確定哪些其他活動可能對支持其總體戰略有用。

致謝
Synopsys的首席科學家Sammy Migues,Synopsys的常務董事Michael Ware和ZeroNorth的首席技術官John Steven都是BSIMM10的作者,他對過去11年的軟件安全性研究收集的數據進行了分析。 參與BSIMM研究的一些公司包括:Adobe,Aetna,阿里巴巴,Ally Bank,Amadeus,Amgen,Autodesk,Axway,美國銀行,Betfair,BMO金融集團,Black Duck Software,Black Knight Financial Services,Box,加拿大帝國商業銀行,第一資本,城市國家銀行,思科,花旗集團,公民銀行,美國銀行,大華,存託信託與清算公司,禮來,Ellucian,Experian,F-Secure,Fannie Mae,Fidelity,房地美,一般電氣,Genetec,全球支付,HCA Healthcare,Highmark Health Solutions,Horizo​​n Healthcare Services,匯豐,iPipeline,強生,摩根大通公司,聯想,LGE,McKesson,Medtronic,Mornstar,Navient,NCR,NetApp,News Corp ,NVIDIA,PayPal,首席金融集團,加拿大皇家銀行,科學遊戲,Synopsys軟件完整性集團,TD Ameritrade,家得寶,先鋒集團,Trainline,特靈,美國銀行,Veritas,Verizon,Wells Fargo和Zendesk。

關於BSIMM
從2008年開始,成熟的建築物安全模型(BSIMM)是一種用於評估和評估軟件安全計劃的工具。 BSIMM是通過仔細研究和分析軟件安全性計劃而開發的數據驅動模型和度量工具,它包含來自120多個組織的真實數據。 BSIMM是一個開放標準,其中包括基於軟件安全性實踐的框架,組織可以使用該框架來評估自己在軟件安全性方面的工作。 有關更多信息,請訪問 www.bsim.com.

關於Synopsys軟件完整性小組 
Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度地提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 https://www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 https://www.synopsys.com/.

###