新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 業(yè)界動(dòng)態(tài) > 新思科技發(fā)布軟件安全構(gòu)建成熟度模型第12版

新思科技發(fā)布軟件安全構(gòu)建成熟度模型第12版

—— BSIMM12報(bào)告顯示開源、云、容器安全活動(dòng)增長(zhǎng)顯著
作者: 時(shí)間:2021-11-10 來(lái)源:電子產(chǎn)品世界 收藏

自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都會(huì)通過(guò)與直接參與企業(yè)軟件安全活動(dòng)的人員進(jìn)行數(shù)百次訪談,收集不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數(shù)據(jù),并分析匯總成為報(bào)告——軟件安全構(gòu)建成熟度模型(BSIMM)。近日,新思科技發(fā)布了BSIMM12報(bào)告。

本文引用地址:http://butianyuan.cn/article/202111/429534.htm

BSIMM模型旨在幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。BSIMM12反映了觀察到的128家公司的軟件安全實(shí)踐,覆蓋多個(gè)垂直行業(yè),包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)等。BSIMM12描述了近3,000名軟件安全團(tuán)隊(duì)成員和6,000多名外圍小組成員的工作成果。BSIMM是全球企業(yè)衡量軟件安全的標(biāo)尺,他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。

1636510900342898.jpg

現(xiàn)代軟件中開源組件盛行,而且利用開源漏洞進(jìn)行的攻擊頻發(fā)。BSIMM12數(shù)據(jù)表明過(guò)去兩年軟件安全企業(yè)對(duì)開源的識(shí)別和管理活動(dòng)增加了 61%。

與云平臺(tái)和容器技術(shù)相關(guān)的活動(dòng)的增長(zhǎng)表明,這些技術(shù)對(duì)企業(yè)如何使用和保護(hù)軟件產(chǎn)生了巨大影響。 例如,在過(guò)去兩年中,“對(duì)容器和虛擬化環(huán)境使用編排功能”的觀察增加了 560%。

美國(guó)海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員,其首席信息安全官 Mick Ware表示:“過(guò)去18個(gè)月里,企業(yè)都經(jīng)歷了數(shù)字化轉(zhuǎn)型大幅加速。越來(lái)越多的企業(yè)采用軟件定義方式來(lái)部署和管理軟件環(huán)境以及云技術(shù)堆棧。鑒于這些變化的復(fù)雜性和速度之快,對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō),擁有工具讓他們了解安全計(jì)劃的狀態(tài),并為下一步的發(fā)展方向提供參考至關(guān)重要。BSIMM 是用于實(shí)現(xiàn)此目的的管理工具。BSIMM提供獨(dú)特的視角,可以了解企業(yè)如何改變實(shí)施軟件定義的安全功能(如策略即代碼)的策略,以與現(xiàn)代軟件開發(fā)原則和實(shí)踐保持一致?!?/p>

Genetec Inc.也是BSIMM社區(qū)的一員,其首席安全架構(gòu)師Mathieu Chevalier表示:“BSIMM 研究方便企業(yè)有一個(gè)基準(zhǔn)用來(lái)評(píng)估當(dāng)前的安全實(shí)踐,確定優(yōu)先事項(xiàng)及保持前瞻性,以應(yīng)對(duì)安全領(lǐng)域的新興趨勢(shì)。BSIMM 的描述性模型可幫助企業(yè)確定如何開始構(gòu)建軟件安全計(jì)劃并使其行之有效。BSIMM12對(duì)責(zé)任共擔(dān)模型的觀察尤其應(yīng)鼓勵(lì)安全領(lǐng)導(dǎo)者考慮他們?nèi)绾伟l(fā)展,以應(yīng)對(duì)和縮小其安全戰(zhàn)略中的任何潛在差距?!?/p>

蘭吉爾(Landis+Gyr)首席信息安全官Todd Wiedman表示:“BSIMM報(bào)告與行業(yè)最佳實(shí)踐步調(diào)一致。憑借BSIMM,我們可以了解不同開發(fā)團(tuán)隊(duì)觀察到的各種開發(fā)安全活動(dòng)的成熟度。隨著軟件開發(fā)實(shí)踐的加速,BSIMM12 數(shù)據(jù)解釋了安全開發(fā)計(jì)劃中發(fā)生的實(shí)際變化。 有了這些信息,企業(yè)可以調(diào)整自己的策略來(lái)保護(hù)自身和客戶,同時(shí)保持創(chuàng)新?!?Landis+Gyr是 BSIMM社區(qū)成員企業(yè)。

Finastra 產(chǎn)品和數(shù)據(jù)安全計(jì)劃總監(jiān) Vinod Raghavan表示: “我們一直在使用 BSIMM 框架來(lái)提升安全戰(zhàn)略,這是產(chǎn)品和數(shù)據(jù)安全計(jì)劃的一部分。它有助于我們與金融服務(wù)及跨行業(yè)的其它企業(yè)進(jìn)行基準(zhǔn)比較,以提高安全成熟度?!?Finastra是 BSIMM社區(qū)成員企業(yè)。

BSIMM12報(bào)告發(fā)現(xiàn)的新趨勢(shì)包括:

●   影響廣泛的勒索軟件和軟件供應(yīng)鏈中斷促使人們更加關(guān)注軟件安全。 BSIMM 數(shù)據(jù)顯示,在過(guò)去兩年中,參與評(píng)估的企業(yè)中,進(jìn)行“識(shí)別開源代碼”活動(dòng)增加了 61%,“創(chuàng)建 SLA 樣板文件”活動(dòng)增加了 57%。

●   企業(yè)開始學(xué)習(xí)如何將風(fēng)險(xiǎn)轉(zhuǎn)化為數(shù)據(jù)。 企業(yè)正更加努力地收集和發(fā)布他們的軟件安全計(jì)劃數(shù)據(jù)。過(guò)去 24 個(gè)月“在內(nèi)部發(fā)布有關(guān)軟件安全的數(shù)據(jù)”活動(dòng)增加了 30%,證明了這一點(diǎn)。

●   增強(qiáng)的云安全功能。 管理層的日益關(guān)注,再加上工程化的驅(qū)動(dòng),使得企業(yè)開始培養(yǎng)自己的云安全管理能力以及評(píng)估他們的責(zé)任共擔(dān)模型。過(guò)去兩年中,與云安全相關(guān)的活動(dòng)平均有36次新觀察結(jié)果。

●   安全團(tuán)隊(duì)正在借調(diào)資源、人員和知識(shí)用于DevSecOps活動(dòng)。BSIMM 數(shù)據(jù)顯示,軟件安全團(tuán)隊(duì)正在從強(qiáng)制性的軟件安全行為朝著合作伙伴角色轉(zhuǎn)移——為 DevOps 實(shí)踐提供資源、人員和知識(shí),目的是將安全工作納入軟件交付的關(guān)鍵路徑。

●   軟件物料清單活動(dòng)增加了 367%。 BSIMM 數(shù)據(jù)顯示專注于以下內(nèi)容的能力有所增加,包括軟件物料清單的功能; 創(chuàng)建軟件物料清單 (BOM); 了解軟件是如何構(gòu)建、配置和部署的; 以及提高企業(yè)基于安全遙測(cè)重新部署的能力。數(shù)據(jù)證明許多企業(yè)已經(jīng)重視對(duì)全面、最新的軟件 BOM 的需求,與這些功能相關(guān)的 BSIMM 活動(dòng)(“通過(guò)運(yùn)維物料清單來(lái)增強(qiáng)應(yīng)用程序庫(kù)存盤點(diǎn)”)在過(guò)去兩年從3次增加到14次,增長(zhǎng)了367%。

●   安全“左移”變?yōu)椤盁o(wú)處不移”。 “左移”的概念側(cè)重于在開發(fā)過(guò)程中更早地進(jìn)行安全測(cè)試。 “無(wú)處不移”將安全測(cè)試擴(kuò)展到在整個(gè)軟件生命周期中持續(xù)進(jìn)行,包括盡早進(jìn)行更小、更快、管道驅(qū)動(dòng)的安全測(cè)試,這可能是在設(shè)計(jì)階段,甚至在生產(chǎn)階段。

從維護(hù)傳統(tǒng)的運(yùn)營(yíng)庫(kù)存轉(zhuǎn)向自動(dòng)化資產(chǎn)發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無(wú)處不移”活動(dòng),例如使用容器來(lái)強(qiáng)制實(shí)施安全控制、編排和掃描基礎(chǔ)設(shè)施即代碼。 BSIMM 觀察到更多活動(dòng),諸如“通過(guò)運(yùn)維物料清單來(lái)增強(qiáng)應(yīng)用程序庫(kù)存盤點(diǎn)”、“對(duì)容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建”等活動(dòng),都證明了上述趨勢(shì)。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示:“自 2008 年以來(lái),BSIMM 咨詢、研究和數(shù)據(jù)專家一直在收集有關(guān)企業(yè)為應(yīng)對(duì)軟件安全挑戰(zhàn)所采取的不同途徑的信息。參與BSIMM評(píng)估的企業(yè)軟件安全計(jì)劃的平均年限為4.4年,反映了企業(yè)如何調(diào)整以應(yīng)對(duì)現(xiàn)代開發(fā)和部署實(shí)踐新趨勢(shì)。有了這些信息,企業(yè)就可以調(diào)整策略來(lái)保護(hù)他們的企業(yè)和客戶,并持續(xù)創(chuàng)新?!?/p>



關(guān)鍵詞:

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉