广告

新思科技发布软件安全构建成熟度模型第12版

2021-11-09 阅读:
BSIMM12报告显示开源、云、容器安全活动增长显著

自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈,收集不同企业的实际软件安全实践的定量数据,并分析汇总成为报告——软件安全构建成熟度模型(BSIMM)。近日,新思科技发布了BSIMM12报告。2yLednc

2yLednc

BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM12反映了观察到的128家公司的软件安全实践,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。BSIMM12描述了近3,000名软件安全团队成员和6,000多名外围小组成员的工作成果。BSIMM是全球企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。2yLednc

现代软件中开源组件盛行,而且利用开源漏洞进行的攻击频发。BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了61%。2yLednc

与云平台和容器技术相关的活动的增长表明,这些技术对企业如何使用和保护软件产生了巨大影响。例如,在过去两年中,“对容器和虚拟化环境使用编排功能”的观察增加了560%。2yLednc

请下载BSIMM12报告2yLednc

美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官Mick Ware表示:“过去18个月里,企业都经历了数字化转型大幅加速。越来越多的企业采用软件定义方式来部署和管理软件环境以及云技术堆栈。鉴于这些变化的复杂性和速度之快,对于安全团队来说,拥有工具让他们了解安全计划的状态,并为下一步的发展方向提供参考至关重要。BSIMM是用于实现此目的的管理工具。BSIMM提供独特的视角,可以了解企业如何改变实施软件定义的安全功能(如策略即代码)的策略,以与现代软件开发原则和实践保持一致。”2yLednc

Genetec Inc.也是BSIMM社区的一员,其首席安全架构师Mathieu Chevalier表示:“BSIMM研究方便企业有一个基准用来评估当前的安全实践,确定优先事项及保持前瞻性,以应对安全领域的新兴趋势。BSIMM的描述性模型可帮助企业确定如何开始构建软件安全计划并使其行之有效。BSIMM12对责任共担模型的观察尤其应鼓励安全领导者考虑他们如何发展,以应对和缩小其安全战略中的任何潜在差距。”2yLednc

兰吉尔(Landis+Gyr)首席信息安全官Todd Wiedman表示:“BSIMM报告与行业最佳实践步调一致。凭借BSIMM,我们可以了解不同开发团队观察到的各种开发安全活动的成熟度。随着软件开发实践的加速,BSIMM12数据解释了安全开发计划中发生的实际变化。有了这些信息,企业可以调整自己的策略来保护自身和客户,同时保持创新。”Landis+Gyr是BSIMM社区成员企业。2yLednc

Finastra产品和数据安全计划总监Vinod Raghavan表示:“我们一直在使用BSIMM框架来提升安全战略,这是产品和数据安全计划的一部分。它有助于我们与金融服务及跨行业的其它企业进行基准比较,以提高安全成熟度。”Finastra是BSIMM社区成员企业。2yLednc

BSIMM12报告发现的新趋势包括:2yLednc

  • 影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。BSIMM数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了61%,“创建SLA样板文件”活动增加了57%。
  • 企业开始学习如何将风险转化为数据企业正更加努力地收集和发布他们的软件安全计划数据。过去24个月“在内部发布有关软件安全的数据”活动增加了30%,证明了这一点。
  • 增强的云安全功能。管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。
  • 安全团队正在借调资源、人员和知识用于DevSecOps活动BSIMM数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为DevOps实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。
  • 软件物料清单活动增加了367%BSIMM数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能;创建软件物料清单(BOM);了解软件是如何构建、配置和部署的;以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件BOM的需求,与这些功能相关的BSIMM活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。
  • 安全左移“无处不移”“左移”的概念侧重于在开发过程中更早地进行安全测试。“无处不移”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。

从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动,例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。BSIMM观察到更多活动,诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动,都证明了上述趋势。2yLednc

新思科技软件质量与安全部门总经理Jason Schmitt表示:“自2008年以来,BSIMM咨询、研究和数据专家一直在收集有关企业为应对软件安全挑战所采取的不同途径的信息。参与BSIMM评估的企业软件安全计划的平均年限为4.4年,反映了企业如何调整以应对现代开发和部署实践新趋势。有了这些信息,企业就可以调整策略来保护他们的企业和客户,并持续创新。”2yLednc

了解更多,请下载BSIMM12报告2yLednc

致谢2yLednc

新思科技首席科学家Sammy Migues,新思科技管理负责人Eli Erlikhman,新思科技首席安全顾问Jacob Ewers,Gemini应用安全总监Kevin Nassery,分析了过去近13年软件安全研究收集的数据,并共同编写BSIMM12报告。部分参与评估的公司包括:AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell,  Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.2yLednc

##2yLednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 商务部暂停天然砂对台湾地区出口,台积电难受了 据EDN电子技术设计了解,商务部网站8月3日早晨8点发布最新消息,表示将从即日起暂停天然砂对台湾地区出口。不少网友认为暂停天然砂对台湾地区的出口,此举将严重影响台湾的建筑业,实则影响不仅仅如此。台湾地区天然砂进口量的90%以上来自大陆,而台湾芯片占台湾2021年出口额的34.8%。网友称商务部暂停天然砂对台湾地区出口是捏到了台湾半导体制造业的七寸。
  • 美国参议院批准价值2460亿美元的芯片法案 美国参议院周三通过立法,以超过 750 亿美元支持国内半导体产业。GlobalFoundries、英特尔、三星代工厂、德州仪器、台积电和其他在美国建立半导体制造设施的公司或将受益。
  • 空调也“怕热”?空调工作临界点到底是什么? 深圳最高气温突破40℃!很多网友戏称:这条命是空调给的,不敢走出空调房。但同时,这两天明显感觉空调动力不足了,以为家里的空调坏了。与此同时,关于格力空调“怕热”遭遇“空调工作临界点”罢工的成了网友关注的热点。
  • 林志颖驾特斯拉出车祸:特斯拉回应起火原因不明,网友质疑 据EDN电子技术设计了解,7月22日上午10时50分左右,林志颖驾驶特斯拉Model X,在路口处掉头后加速向前行驶,但在前方道路分叉口处,因不明原因突然偏离车道自撞指示杆,整辆车陷入火海。此事引起网友关注热议,特斯拉客服表示,暂不清楚起火原因,但车身没有特别容易起火的材质。但有台媒指出,林志颖最爱特斯拉的自动驾驶功能,这也引起了网友对事故是否与自动驾驶有关的猜测。
  • 售价将超50万美元,乔布斯的Apple-1原型机电路板长什么 这块在 1976 年由史蒂夫-沃兹尼亚克手工焊接的 Apple Computer A 印刷电路板被史蒂夫-乔布斯用来向保罗-特雷尔演示 Apple-1 电脑,后者是加州山景城 The Byte Shop 的老板。这台原型机在“苹果车库”里保存了很多年,然后在大约 30 年前由史蒂夫-乔布斯交给了它现在的主人。当时,乔布斯已被苹果公司赶走。乔布斯当时认为这个原型不是要供奉的东西,而是要被重新利用的东西。
  • 利用反极性MOSFET帮助555振荡器忽略电源和温度变化 恒定频率振荡器是555定时器的经典应用之一。然而,由于所用二极管的特性不理想,占空比的间隔会随着温度和V+电源的变化而变化。本设计实例给出了一种解决方法:利用反极性P沟道MOSFET引导电容的充电电流而不产生任何明显压降。
  • 高通发布4nm骁龙W5+骁龙W5芯片,专为可穿戴设计 据EDN电子技术设计报道,高通7月20日正式发布了全新4nm制程的骁龙可穿戴平台W5 Gen1和骁龙W5+ Gen。与两年前的上一代产品骁龙wear 4100相比,骁龙W5与W5+采用了全新的命名方式,整体功耗降低超50%。SoC工艺从12nm提升到4nm,协处理器使用22nm制程工艺。
  • M2 Pro 和 M2 Max 或是苹果首款采用台积电3nm 工艺的 M1 Pro 和 M1 Max 最多可配置 10 核 CPU 和 32 核 GPU。借助 M2 Pro 和 M2 Max,Apple 有望突破这一门槛,为这两个领域带来更多的核心数量。目前M2 Pro相关的爆料很少,但据称M2 Max 有12 核 GPU 和 38 核 GPU。12 核 CPU 将包括 10 个性能核心和两个能效核心。
  • 华为鸿蒙3.0即将发布,首款新品是一款11英寸高端旗舰平 据EDN电子技术设计报道,终端官方微博昨天正式宣布,将于7月27日正式发布Harmony OS 3.0手机操作系统,新系统重点升级了流畅度、万物互联,以及鸿蒙车机等功能。此外,还将带来的首款新品:华为MatePad Pro 11,从宣传海报来看这是一款11英寸高端旗舰平板.
  • 中信拆了辆特斯拉Model 3,发现多个领域技术引领行业 EDN电子技术设计在6月底报道了海通国际手动拆解十万元的比亚迪“元”的详细拆解图,如今不到一个月的时间,中信证券微信公众号发表了一篇《从拆解Model 3看智能电动汽车发展趋势》的文章,文中称对特斯拉Model 3的E/E架构、三电、热管理、车身等进行了详细深入地分析,并坚定看好中国智能电动化发展趋势,引起了广泛关注。
  • 经典电子小制作项目:DS18B20制作的测温系统原程序原理 下面介绍的这款DS18B20制作的测温系统,测量的温度精度达到0.1度,测量的温度的范围在-20度到+50度之间,用4位数码管显示出来。DS18B20的外型与常用的三极管一模一样,用导线将JK—DS的DA端连到P3.1上。连接好DS18B20注意极性不要弄反,否则可能烧坏。
  • OPPO被曝测试240W快充,但实际速度不及vivo的200W 爆料称OPPO正在试产24V10A的240W充电器。对于采用双电芯三电荷泵设计的电池而言,其理论峰值功率可以达到300W,但目前的USB Type-C接口规范的最高功率为240W,OPPO这次一下子将C口快充做到了“天花板”级别。不过,OPPO和vivo不太一样,虽然前者测试的是240W快充,但充电策略偏向保守,实际速度可能不如vivo的200W。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了