广告

新思科技发布软件安全构建成熟度模型第12版

2021-11-09 阅读:
BSIMM12报告显示开源、云、容器安全活动增长显著

自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈,收集不同企业的实际软件安全实践的定量数据,并分析汇总成为报告——软件安全构建成熟度模型(BSIMM)。近日,新思科技发布了BSIMM12报告。umsednc

umsednc

BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM12反映了观察到的128家公司的软件安全实践,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。BSIMM12描述了近3,000名软件安全团队成员和6,000多名外围小组成员的工作成果。BSIMM是全球企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。umsednc

现代软件中开源组件盛行,而且利用开源漏洞进行的攻击频发。BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了61%。umsednc

与云平台和容器技术相关的活动的增长表明,这些技术对企业如何使用和保护软件产生了巨大影响。例如,在过去两年中,“对容器和虚拟化环境使用编排功能”的观察增加了560%。umsednc

请下载BSIMM12报告umsednc

美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官Mick Ware表示:“过去18个月里,企业都经历了数字化转型大幅加速。越来越多的企业采用软件定义方式来部署和管理软件环境以及云技术堆栈。鉴于这些变化的复杂性和速度之快,对于安全团队来说,拥有工具让他们了解安全计划的状态,并为下一步的发展方向提供参考至关重要。BSIMM是用于实现此目的的管理工具。BSIMM提供独特的视角,可以了解企业如何改变实施软件定义的安全功能(如策略即代码)的策略,以与现代软件开发原则和实践保持一致。”umsednc

Genetec Inc.也是BSIMM社区的一员,其首席安全架构师Mathieu Chevalier表示:“BSIMM研究方便企业有一个基准用来评估当前的安全实践,确定优先事项及保持前瞻性,以应对安全领域的新兴趋势。BSIMM的描述性模型可帮助企业确定如何开始构建软件安全计划并使其行之有效。BSIMM12对责任共担模型的观察尤其应鼓励安全领导者考虑他们如何发展,以应对和缩小其安全战略中的任何潜在差距。”umsednc

兰吉尔(Landis+Gyr)首席信息安全官Todd Wiedman表示:“BSIMM报告与行业最佳实践步调一致。凭借BSIMM,我们可以了解不同开发团队观察到的各种开发安全活动的成熟度。随着软件开发实践的加速,BSIMM12数据解释了安全开发计划中发生的实际变化。有了这些信息,企业可以调整自己的策略来保护自身和客户,同时保持创新。”Landis+Gyr是BSIMM社区成员企业。umsednc

Finastra产品和数据安全计划总监Vinod Raghavan表示:“我们一直在使用BSIMM框架来提升安全战略,这是产品和数据安全计划的一部分。它有助于我们与金融服务及跨行业的其它企业进行基准比较,以提高安全成熟度。”Finastra是BSIMM社区成员企业。umsednc

BSIMM12报告发现的新趋势包括:umsednc

  • 影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。BSIMM数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了61%,“创建SLA样板文件”活动增加了57%。
  • 企业开始学习如何将风险转化为数据企业正更加努力地收集和发布他们的软件安全计划数据。过去24个月“在内部发布有关软件安全的数据”活动增加了30%,证明了这一点。
  • 增强的云安全功能。管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。
  • 安全团队正在借调资源、人员和知识用于DevSecOps活动BSIMM数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为DevOps实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。
  • 软件物料清单活动增加了367%BSIMM数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能;创建软件物料清单(BOM);了解软件是如何构建、配置和部署的;以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件BOM的需求,与这些功能相关的BSIMM活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。
  • 安全左移“无处不移”“左移”的概念侧重于在开发过程中更早地进行安全测试。“无处不移”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。

从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动,例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。BSIMM观察到更多活动,诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动,都证明了上述趋势。umsednc

新思科技软件质量与安全部门总经理Jason Schmitt表示:“自2008年以来,BSIMM咨询、研究和数据专家一直在收集有关企业为应对软件安全挑战所采取的不同途径的信息。参与BSIMM评估的企业软件安全计划的平均年限为4.4年,反映了企业如何调整以应对现代开发和部署实践新趋势。有了这些信息,企业就可以调整策略来保护他们的企业和客户,并持续创新。”umsednc

了解更多,请下载BSIMM12报告umsednc

致谢umsednc

新思科技首席科学家Sammy Migues,新思科技管理负责人Eli Erlikhman,新思科技首席安全顾问Jacob Ewers,Gemini应用安全总监Kevin Nassery,分析了过去近13年软件安全研究收集的数据,并共同编写BSIMM12报告。部分参与评估的公司包括:AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell,  Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.umsednc

##umsednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 使用BLDC电机助力机械扫描激光雷达实现360度视场 激光雷达系统的视场 (FOV) 决定了激光雷达能够捕捉到的图像的宽度,因此该视场对于自动驾驶决策算法十分重要。扩大FOV的方法有很多种,其中之一就是利用机械扫描,使用电机帮助实现360度FOV。无刷直流 (BLDC) 电机可以实现此目标,且高效低噪,因此广受欢迎。
  • 如何设计小型USB-C PD和PPS适配器 为了实现先进的USB电源协议,除了反激式控制器外,设计工程师还需要使用专用的USB控制器或微控制器。这两个IC之间还需要低时延通信,确保整个解决方案符合USB协议。
  • 英特尔、AMD、Arm等九大企业宣布UCIe开放标准,推动Chip 英特尔、AMD、Arm 和所有领先的代工厂商齐聚一堂,包括高通、三星、台积电、日月光,以及Google Cloud、Meta、微软,宣布他们正在为小芯片互连制定一个新的开放标准Universal Chiplet Interconnect Express (UCIe),希望以UCIe 1.0规范建立芯片互连、兼容运作,让更多业者能依照此标准打造新款处理器,并且能配合不同微芯片建构差异化设计。
  • 如何使用LTspice仿真来解释电压依赖性影响 问题:如何在电路仿真中考虑多层陶瓷电容器(MLCC)的直流偏置影响?答案:使用LTspice的非线性电容功能和合理的模型。
  • 自耦变压器和风扇 由于我的SPICE版本中并不包括自耦变压器,因此必须设计一个使用两个1:1匝数比变压器的模型...
  • “中国IC设计成就奖”提名产品简介:R5总线隔离收发芯片 R5总线隔离收发芯片是金升阳为通信等领域量身打造的产品,该系列产品的开发攻克了很多行业难题,从R1至R5系列,性能与体积不断优化,已经实现了产品性能及封装工艺的同步提升,在产品体积、成本上的优化技术已经做到了国内领先水平产,极大的节约了客户占板空间,更加契合用户的实际使用场景和产业技术发展趋势。在原来的性能优势上,实现更高效率及更优越的保护性能。R5系列产品的核心技术确实在行业内有独创性,极大推动了通信行业等对体积、成本要求很高的行业发展。
  • “中国IC设计成就奖”提名产品简介:新能源汽车用功率器 比亚迪半导体BF1181是一款电隔离单通道栅级驱动芯片,可兼容并驱动1200V IGBT&SiC功率器件。其互补的输入信号满足5V的信号输入,可直接与微控制器相连。其输出驱动峰值电流高达±8A,满足4500Vus 60s脉冲绝缘要求,适应-40℃~125℃环境运行温度范围。BF1181同时具有优异的动态性能和工作稳定性,并集成了多种功能,如故障报警、源密勒钳位、去饱和保护、主次级欠压保护等,同时集成模拟电平检测功能,可用于实现温度或电压的检测,并提高芯片的通用性,进一步简化系统设计并确保系统更安全,可应用于EV/HEV电源模块、工业电机控制驱动、工业电源、太阳能逆变器等领域。
  • 研发转至FAE(现场应用工程师),是否远离技术了?有前途吗? 前几日,EDN小编在浏览知乎的时候,发现了一个有趣的话题《FAE有什么发展前景吗?》,被浏览次数接近九万次。小编总结了一下题主的提问:FAE是否远离技术了?未来是否有发展前景?
  • “中国IC设计成就奖”提名产品简介:3.8V~40V输入,3.5A SCT243x系列产品:SCT2430,SCT2431,SCT2432,主要针对工业和车载应用中的三种不同需求组合(外置补偿可设置,缓启动时间可设置,频率可设置)所开发的系列产品。目前该系列产品累计出货量超千万片以上,目前客户端回诉的质量DPPM为0ppm。
  • “中国IC设计成就奖”提名产品简介:AC-DC电源管理芯片S SP2738CF是无锡硅动力微电子股份有限公司自主架构的一款性能优异的原边反馈AC/DC控制电路,采用了多项自研技术,已申请并通过了发明专利、实用新型专利技术包括国际PCT专利共9项。产品适用于高功率密度、小体积AC/DC 充电器与适配器,无需光耦和TL431。芯片可以工作在CCM/QR工作模式,可以在十分精简的外围条件下高精度地实现恒流和恒压控制,可以轻松实现6级能效要求。
  • “中国IC设计成就奖”提名产品简介:电量计芯片CW2217B CW2217B是一款用于系统侧的单节锂电池电量计芯片,其通过内部高精度模拟前端(AFE)采集电池的实时电压、电流和温度,结合内置电池模型,可精准计算的电池剩余电量(SOC)。芯片还能记录电池的充放电循环数(Cycle),追踪电池内阻的变化,计算电池的健康程度(SOH),可使用户更了解电池状态,最终提升用户体验。可广泛用于智能手机、平板电脑、智能POS机等移动便携终端,也可用于智能穿戴设备和使用锂电池的IoT设备。
  • “中国IC设计成就奖”提名产品简介:Type-C全接口综合保 传统上,需要采用多个OVP保护芯片与TVS等器件,为Type-C接口提供可靠的保护。维安采用”All-IN-One”的技术方案,在单芯片上实现了4个通道的短路与热插拔,和8个通道的系统级静电综合防护。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了