首頁|必讀|視頻|專訪|運營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計算|芯片報告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 技術(shù) >> 正文

新思科技發(fā)布最新版本BSIMM報告

2020年11月11日 15:54  CCTIME飛象網(wǎng)  

反映了企業(yè)如何調(diào)整其軟件安全計劃以支持現(xiàn)代軟件開發(fā)范例

飛象網(wǎng)訊 自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都會通過與直接參與企業(yè)軟件安全活動的人員進行數(shù)百次訪談,收集不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù),并分析匯總成為報告——軟件安全構(gòu)建成熟度模型(BSIMM)。近日,新思科技發(fā)布了BSIMM11報告。

BSIMM旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動,覆蓋多個垂直行業(yè),包括金融服務(wù)、金融科技、獨立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果,這些成果對超過49萬名開發(fā)人員有指導(dǎo)作用。

BSIMM是企業(yè)衡量軟件安全的標(biāo)尺,他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進行比較。 BSIMM11表明,許多企業(yè)正在調(diào)整其軟件安全計劃,以支持數(shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

下載BSIMM11報告。

美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員,其首席信息安全官 Mike Newborn表示:“對于有興趣學(xué)習(xí)同行經(jīng)驗,尤其是如何解決新的或正在涌現(xiàn)的挑戰(zhàn)的安全領(lǐng)導(dǎo)者而言,BSIMM提供豐富的資源。如今,大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn):一方面需要加速軟件開發(fā)和推出市場;另一方面又要確保日益增多的軟件應(yīng)用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調(diào)整其軟件安全策略,在持續(xù)創(chuàng)新或保障開發(fā)速度的同時保護自己和客戶的軟件應(yīng)用安全!

BSIMM11報告發(fā)現(xiàn)的新趨勢包括:

·         工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實現(xiàn)彈性的 DevOps 價值流貢獻力量。BSIMM11表明,持續(xù)集成和持續(xù)交付(CI/CD)工具和運維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作,并且正在影響SSI的組織、設(shè)計和執(zhí)行方式。例如,軟件安全團隊越來越多地向技術(shù)小組或首席技術(shù)官匯報工作(而不是IT安全團隊或首席信息安全官),并且正在改變內(nèi)部招募和組織人才的方式。

·         軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動化活動替代一些摩擦性高的帶外(out-of-band)數(shù)據(jù)安全活動。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

·         安全“左移”變?yōu)椤盁o處不移”!白笠啤备拍畹膶崿F(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時立即執(zhí)行安全活動。這可能意味著在過去我們認為在左側(cè)(較早期)的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)(偏后期,包括生產(chǎn)階段)。

·         在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。在仔細審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后,很明顯,有必要添加一個專門面向金融服務(wù)的ISV單獨的垂直行業(yè)。

新思科技高級技術(shù)總監(jiān)兼BSIMM報告聯(lián)合作者Michael Ware表示:“在過去的幾年中,現(xiàn)代軟件的構(gòu)建和部署方式有了巨大改變,因此,為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴軟件,現(xiàn)代方法論加快了開發(fā)速度。因此,軟件的數(shù)量不斷在攀升,我們也仍然需要擔(dān)心先前開發(fā)的軟件是否有風(fēng)險。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型,它代表著全球數(shù)百個軟件安全企業(yè),包括一些全球領(lǐng)先的團隊,正在采取的舉措,提供了近乎實時的行業(yè)實踐,了解如何實施新舉措以保護不斷增加的軟件產(chǎn)品組合。”

BSIMM中新的活動代表著向DevSecOps的轉(zhuǎn)變

在過去的一年中,添加到BSIMM10中的三個活動取得了驚人的增長(SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動驗證運營基礎(chǔ)運維安全性)。這反映了一些企業(yè)如何積極加速軟件安全工作,以適應(yīng)軟件交付的速度。此外,BSIMM11中添加的兩個活動顯示了這一趨勢在延續(xù)(ST3.6 自動實施事件驅(qū)動的安全性測試,CMVM3.6 發(fā)布可部署工件的風(fēng)險數(shù)據(jù))。

不同行業(yè)中BSIMM的應(yīng)用

BSIMM提供了以數(shù)據(jù)為依據(jù)的獨特見解,以了解和比較各個行業(yè)中軟件安全計劃的相對優(yōu)勢和劣勢。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異:金融服務(wù)、醫(yī)療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團隊,因此,與醫(yī)療保健和保險行業(yè)相比,擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù),并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近,主要的差異(有利于金融科技)體現(xiàn)在培訓(xùn)、安全測試和代碼審查實踐中。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請在30日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進行的“內(nèi)容核實”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張云明:大部分國家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動 共筑信息保障堤壩
2023MWC上海世界移動通信大會
中國5G商用四周年
2023年中國國際信息通信展覽會
CCTIME推薦
關(guān)于我們 | 廣告報價 | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像