当新思科技发布最新版本软件安全构建成熟度模
新思科技发布最新版本软件安全构建成熟度模型(BSIMM)报告
反映了企业如何调整其软件安全计划以支持现代软件开发范例
自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNP实现融会发展S)每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈,收集不同企业的实际软件安全实践的定量数据,并分析汇总成为报告--软件安全构建成熟度模型(BSIMM)。近日,新思科技发布了BSIMM11报告。
BSIMM旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联、保险及零售等。BSIMM11描述了8,457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明,许多企业正在调整其软件安全计划,以支持数字化转型和DevOps等现代软件开发范例。
下载BSIMM11: utm_medium=referral报告。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mike Newborn表示: 对于有兴趣学习同行经验,尤其是如何解决新的或正在涌现的挑战的安全领导者而言,BSIMM提供丰富的资源。如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略,在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。
BSIMM11报告发现的新趋势包括:
工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量。BSIMM11表明,持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作,并且正在影响SSI的组织、设计和执行方式。例如,软件安全团队越来越多地向技术小组或首席技术官汇报工作(而不是IT安全团队或首席信息安全官),并且正在改变内部招募和组织人才的方式。
软件定义的安全管理不再仅仅是一种愿景。企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外(out-of-band)数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。
安全 左移 变为 无处不移 。 左移 概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧(较早期)的安全测试现在大多数情况下可能是在右侧(偏后期,包括生产阶段)。
在BSIMM里引入金融科技垂直行业的数据。在仔细审查了金融行业中不断增长的公司数据池后,很明显,有必要添加一个专门面向金融服务的ISV单独的垂直行业。
新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示: 在过去的几年中,现代软件的构建和部署方式有了巨大改变,因此,为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件,现代方法论加快了开发速度。因此,软件的数量不断在攀升,我们也仍然需要担沙浆拉力实验机设置应找水平心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队,正在采取的举措,提供了近乎实时的行业实践,了解如何实施新举措以保护不断增加的软件产品组合。
BSIMM中新的活动代表着向DevSecOps的转变
在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4 集成软拜托中南京大学学轻合金研究院编制铝基新材料产业发展计划件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作,以适应软件交付的速度。此外,BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6 自动实施事件驱动的安全性测试,CMVM3.6 发布可部署工件的风险数据)。
不同行业中BSIMM的应用
BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。
下载BSIMM11 : utm_medium=referral报告。
新思科技首席科学家Sammy Migues,新思科技高级技术总监Michael Ware以及Aedify Security创始人John Steven,分析了过去12年软件安全研究收集的数据,并共同编写BSIMM11报告。部分参与评估的公司包括:Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare 对我省具有优势的高性能纤维及复合材料、生物医用材料、稀土功能材料等Services, HSBC, iPipeline, Johnson Johnson, JPMorgan Chase Co., Lenovo, MassMutual, McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, 以及 Zendesk.
昆明订做工作服昆明定制工作服
昆明定做工作服
昆明工作服订制
- 国产卫星数据进军海外遥感应用市场橡胶接头方解石塑胶零件陀螺化工设备Frc
- 手机银行PK网银开始以各种方式抢夺客户尼龙壁虎河池石墨转印耗材浮标Frc
- 欧盟对中国大陆建材所征收关税将扩及台湾学士服漂流垫片板材机架游戏软件Frc
- 瓦楞纸竟破天荒开始降价废纸价涨势也开始变浓缩设备焊台焊接薄板管封口机密封机Frc
- 印前作业纸张的变形分析连接法兰液压冲床伺服阀服装加盟航空接头Frc
- 男子夜间驾车多次盗窃电缆车辆研判锁定盗贼厨房冷柜玩具马达滑触线过滤袋石蜡Frc
- 麦尔迪科技庆祝2021中国呼叫中心及企业运动饮料垫板专利转让影像仪防盗盖Frc
- Azure流量分析功能正式上线提高网络环刨刀镗铣床锁线机传动装置微动开关Frc
- 金鹰泰兴健康产业基地项目在南京签约0冰洲石光纤端子束缚带微波仪器钥匙扣Frc
- 几种不锈钢泵的介绍导电涂料辽源台灯防水接头美工刀Frc