自2008年以来,新思科技(Synopsys)软件安全构建成熟度模型(BSIMM)已用作评估各种类型和规模的组织的有效工具,其中包括世界各地正在采用其软件安全策略的一些高级安全团队。
最新的BSIMM数据反映了有多少组织正在调整其方法以响应现代开发和部署实践中的新动态,例如缩短发布周期,增加自动化的使用以及软件定义的基础结构。
最近,Synopsys宣布发布BSIMM11报告。
该模型旨在帮助公司计划,执行,评估和改进其软件安全计划(SSI)。
BSIMM11反映了观察到的130家公司的软件安全活动,涉及多个垂直行业,包括金融服务,金融技术,独立软件供应商(ISV),云,医疗保健,物联网,保险和零售。
BSIMM11描述了8,457位软件安全专家的工作成果,这些专家对490,000多名开发人员具有指导作用。
BSIMM是公司衡量软件安全性的标准。
他们可以将其软件安全计划与BSIMM社区的数据进行比较。
BSIMM11表明,许多公司正在调整其软件安全计划,以支持诸如数字转换和DevOps之类的现代软件开发范例。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的成员。
其首席信息安全官迈克·纽伯恩(Mike Newborn)表示:“对于有兴趣从对等经验中学习,尤其是如何解决新的或正在出现的挑战的安全领导者,总体而言,BSIMM提供了丰富的资源。
如今,大多数企业都面临着这样的挑战:一方面,他们需要加速软件开发和市场发布;另一方面,他们需要加快软件开发和市场推广的步伐。
另一方面,它们必须确保越来越多的软件应用程序的安全性。
BSIMM11反映了这些公司,其中有多少公司正在调整其软件安全策略,以在继续创新或确保开发速度的同时保护自己和客户的软件应用程序”。
BSIMM11报告中发现的新趋势包括:·面向工程技术的软件安全性工作正在成功服务有助于实现灵活的DevOps价值流。
BSIMM11表明,持续集成和持续交付(CI / CD)工具以及操作和维护流程已成为某些企业软件安全解决方案的常规操作,并且正在影响SSI的组织,设计和执行。
例如,软件安全团队越来越多地向技术团队或首席技术官(而不是IT安全团队或首席信息安全官)汇报工作,并且正在改变他们内部招募和组织人才的方式。
·软件定义的安全管理不再只是一个愿景。
企业使用由CI / CD管道中的事件触发的自动化活动来代替一些摩擦性的带外数据安全活动。
将人员流程和决策转换为算法是公司越来越多地解决资源约束和节奏管理问题的方法之一。
·安全的“向左移动”变得“无处不在”。
实现“向左移动”的步骤可以是:概念已经从在软件开发周期的早期执行一些安全测试的字面解释演变为在要检查的工件可用时立即执行安全活动。
这可能意味着在过去,在大多数情况下,我们认为在左边(较早)进行的安全测试现在可能在右边(较晚的阶段,包括生产阶段)位于右侧。
·在BSIMM中引入来自金融技术垂直行业的数据。
在仔细审查了金融行业公司不断增长的数据池之后,很明显,有必要添加一个单独的垂直行业,专门用于金融服务的ISV。
Synopsys的高级技术总监兼BSIMM报告的合著者Michael Ware表示:“在过去的几年中,现代软件的构建和部署方式发生了巨大变化。
因此,确保软件安全性所需的措施自然也在发生变化。
企业业务高度依赖软件,现代方法论已加速发展。
因此,软件的数量持续增加,我们仍然需要担心先前开发的软件是否存在风险。
BSIMM是一个不断发展的软件安全构建成熟度模型,它代表着全球数百家软件安全公司(包括一些世界领先的团队)正在采取主动行动,以提供近乎实时的行业实践,并了解如何实施新的主动行动以保护安全性。
不断增长的软件