0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

新思科技BSIMM10 强调DevOps对软件安全性的影响

西西 来源:厂商供稿 作者:新思科技 2019-10-24 08:45 次阅读

公司在部署或者升级软件安全计划的时候,应综合考虑多个因素,如不断发展演进的业务和技术、管理人员的期望、安全目标和运营目标、以及其当前的优势和劣势等。

新思科技软件安全构建成熟度模型(BSIMM)不是单一用途的软件安全计划(SSI)基准测试工具 – 任何人身居软件安全管理岗位,不论是集中治理导向型抑或是趋近于产品工程导向型,都可以借助 BSIMM 简化管理并获得持续改进的能力。所有的公司,无论其成熟度、 规模和垂直行业如何,在从头开始构建新的 SSI时以及随时间的推移而逐步完善其计划的成熟度时,都应将 BSIMM作为参考指南。

新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM10。该模型旨在帮助企业规划、执行、完善和评估其软件安全计划(SSIs)。在过去的十年里,新思科技采用BSIMM对185家公司进行了约450次评估,第十个版本反应了观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。点击以下链接,下载BSIMM10报告:www.bsimm.com/zh-cn/download.html.

MassMutual企业信息风险管理总监Jim Routh表示:“自2008年起,BSIMM就作为评估各种类型和规模的组织的有效工具,包括全球一些先进的安全团队正采用其软件安全策略。最新的BSIMM数据反映了有多少家组织正调整其方法来应对现代开发和部署实践的新动态,比如缩短发布周期、增加自动化的使用和软件定义的基础架构。”

BSIMM10描述了7,900名软件安全专家的工作成果,这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业,包括金融服务、高科技、独立软件供应商(ISVs),云、医疗保健、物联网、保险及零售业。

BSIMM10报告的主要发现包括:

·DevOps对软件安全的影响:BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出,新的活动反映了公司如何积极致力使安全活动自动化,来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例,以反映这些活动如何作为现代DevOps组织实施的一部分。

·工程导向的安全文化的新浪潮:BSIMM10是第一个正式反映SSI文化发生变化的研究,工程主导的软件安全工作是由开发和运营团队自下而上驱动的,而不像在集中式软件安全小组自上而下。在一些组织中,工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现,是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。

·公司采用BSIMM来为其软件安全旅程导航:BSIMM10是首个定义SSI成熟度三个阶段(兴起、发展和优化)的版本,并且描述了不同公司通常如何通过它们发展。BSIMM数据显示,随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注活动的深度、广度和规模,而不是总想着增加活动数量。

新思科技首席科学家Sammy Migues表示:“领导一个有效的软件安全计划是富有挑战性的,而DevOps和CI/CD带来的巨大技术和组织变革并没有使这项任务变得更加容易。作为不断发展以反映全球数百个软件安全小组的经验的工具,无论你是刚刚开始你的软件安全旅程,寻求优化程序或者应对新的挑战,BSIMM以及社区都是宝贵的资源。”

BSIMM包括的数据是从真正建立SSIs的公司收集而来,量化了119项活动的发生,来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的,涵盖该模型所描述的全部 12项实践中各种各样的活动。组织可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。

致谢

新思科技首席科学家Sammy Migues,新思科技业务负责人Michael Ware以及ZeroNorth首席科技官John Steven,分析了过去11年软件安全研究收集的数据后共同编写了BSIMM10。部分参与评估的公司包括:Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo以及Zendesk

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 新思科技
    +关注

    关注

    5

    文章

    785

    浏览量

    50292
  • 软件安全
    +关注

    关注

    0

    文章

    23

    浏览量

    9193
  • BSIMM
    +关注

    关注

    0

    文章

    4

    浏览量

    4926
收藏 人收藏

    评论

    相关推荐

    各国汽车安全性怎么测试

    曾经有一项问卷调查是对10万名消费者进行调查,结果显示他们最关心的汽车性能是安全性,无论性价比如何高,只要安全性不好的话消费者都不会想购买的。其实全世界其它国家的消费者也是这么想的。各国为了提高汽车
    发表于 05-16 06:11

    视频安全性好处

    视频安全性好处
    发表于 09-26 18:43

    为什么基于硬件的安全性更有效?

    我们一直认为这些都是非常安全的产品。例如婴儿监视器、玩具、安全摄像头(非常讽刺),甚至医疗设备。已经快速采用IoT技术的领域将是最脆弱环节 ;设备越智能则越不安全对于其它许多行业而言,安全性
    发表于 03-05 07:18

    怎样利用虚拟仪器技术去开发引信软件安全性测试系统?

    引信软件安全性测试系统有什么特点?怎样利用虚拟仪器技术去开发引信软件安全性测试系统?
    发表于 04-09 07:01

    数据库安全性概述

    本文主讲 数据库的安全性,欢迎阅读~????目录一、数据库安全性概述二、数据库安全性控制1. 用户标识与鉴别2. 存取控制3. 自主存取控制方法4. 授权与回收5. 数据库角色6. 强制存取控制方法
    发表于 07-30 06:42

    嵌入式机载软件安全性的相关资料分享

    嵌入式软件在汽车、核能、航空等安全关键领域应用普遍,软件中潜在的失效都有可能造成财产的损失、环境的破坏甚至人员的伤亡,保障嵌入式软件安全性
    发表于 12-24 08:22

    软件安全性测试方法研究

    软件安全性测试是保证软件安全性的重要手段。本文论述了软件安全性测试的特点和主要内容,重点研究了国
    发表于 08-22 11:06 19次下载

    DevOps Foundation® 是什么?DevOps塑造着软件世界的未来

    DevOps Foundation® 课程旨在培养个人对 DevOps Foundation® 概念的理解以及 DevOps 如何用于提升软件开发人员和 IT 运维人员之间沟通、合作和
    的头像 发表于 04-16 12:46 5510次阅读

    思科技与业内专家针对DevSecOps对软件安全性的影响进行了探讨

    由于软件安全事件频发,相关企业不得不重视软件安全,并且积极采取应对和预防措施。在这几年,随着软件安全
    的头像 发表于 12-17 09:37 2545次阅读

    比亚迪强调刀片电池的安全性是哪些?

    最近,新能源汽车圈明显感觉到比亚迪与宁德时代之间较上劲了。事情起因于前不久比亚迪发布刀片电池。在发布会上,比亚迪重点强调了刀片电池的安全性。这不奇怪,当前,电动汽车起火事件不少,比亚迪强调刀片电池的
    的头像 发表于 06-08 08:51 4675次阅读

    思科技完善软件安全计划并已经迎来了第11个版本

    自2008年发布第一版BSIMM软件安全构建成熟度模型)以来,新思科技这一旨在帮助企业规划、执行、评估和完善其软件
    的头像 发表于 11-12 09:19 1616次阅读

    思科技携手vivo深耕数字安全生态,共筑数智时代安全新高地

    的应用安全管理产品和服务,包括软件安全构建成熟度模型(BSIMM)评估以及开源供应链与应用安全软件
    的头像 发表于 12-06 17:10 673次阅读

    什么是DevSecOps?理解DevOps安全性

    增长,这反过来又导致了安全漏洞和威胁。因此,对于DevOps团队来说,在软件开发周期工作流的每个阶段添加安全措施变得非常重要。安全问题应得到
    的头像 发表于 12-24 14:00 1297次阅读

    轨交系统安全性设计

    本文将从轨交系统的安全性设计的必要、控制设计、需求分析以及实现等方面进行阐述。 1. 安全性设计的必要 2. 安全
    的头像 发表于 01-16 16:55 777次阅读
    轨交系统<b class='flag-5'>安全性</b>设计

    向技术要安全,新思科技推出全新Polaris软件质量与安全平台

    Security Testing, 以下简称“fAST”)功能。新思科技fAST Static静态应用安全测试和fAST SCA软件组成分析可完全集成于单一SaaS平台中,协助DevOps
    的头像 发表于 05-05 15:03 1215次阅读