【.com原稿】2019年10月23日,Synopsys发布最新版软件安全构建成熟度模型(BSIMM)——BSIMM10,该模型旨在帮助组织计划、执行、改进和评估他们的软件安全计划(SSI)。媒体沟通会上,Synopsys软件质量与安全部高级安全架构师杨国梁接受了记者采访,分享了BSIMM10开发应用的诸多故事。 “要使任何软件安全计划真正有效,确定要关注的适当活动以及谁应该负责执行这些活动是软件安全计划的重要组成部分。Synopsys软件安全构建成熟度模型(BSIMM)是多年研究现实世界软件安全计划的结果,是衡量软件是否安全的标尺。”杨国梁表示,在过去的十年中,新思科技使用BSIMM对185家公司进行了约450次研究。第十版评估反映了观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、新一波以工程为导向的安全工作,以及公司如何应对软件安全成熟度的三个阶段。 据他介绍,BSIMM10描述了7,900名软件安全专家的工作,告知参与开发173,000多个应用程序的470,000名开发人员。BSIMM10代表来自垂直行业的公司,包括金融服务、高科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险和零售。 》在中国,BSIMM10将提供通用版服务,不仅可以观察122家企业的软件安全活动,还可以获取所有企业的平均蜘蛛图,帮助企业规划、实施、改进并评估他们的软件安全计划。同时,由于每个行业的特点不同,BSIMM10也对以上垂直行业进行了一些分析。在不同行业的版本中,得到的蜘蛛图可以用来比较一个特定垂直行业的一组公司。不同的行业得分不同,蜘蛛网图也不同。比如金融行业,由于政策监管非常严格,在合规标准上起点比较高,而在这方面,金融业可能得分相对较高。”杨国梁表示,对于之前使用过BSIMM之前版本的用户,如果客户有需求,Synopsys也会提供更细致的服务,帮助用户加快数字化转型的步伐。 记者了解到,BSIMM10报告中有3个发现更值得关注: 首先是DevOps对软件安全的影响。BSIMM数据显示,DevOps以及持续集成和持续交付(CI/CD)工具的发展正在影响公司处理软件安全的方式。这可以从BSIMM的三项新活动中看出,这反映了公司如何积极致力于自动化安全活动,以匹配他们将业务能力推向市场的速度。BSIMM10还包括对现有活动的更新描述和示例,以反映这些活动如何成为现代DevOps组织实施的一部分。 其次是工程导向的安全文化新浪潮。BSIMM10正式反映了对SSI不断变化的文化的研究,其中以工程为主导的软件安全工作是由开发和运营团队自下而上推动的,而不是像集中式软件安全小组那样自上而下推动的。在一些组织中,以工程为主导的安全文化克服了建立和发展有意义的软件安全工作的困难。为了响应敏捷和DevOps等现代软件交付实践的需求以及现有SSI产生的不必要的摩擦,新一波面向工程的安全文化正在兴起。 第三是建议公司使用BSIMM来导航他们的软件安全之旅。BSIMM10定义了SSI成熟度的三个阶段(出现、发展和优化)的版本,并描述了不同公司通常如何通过它们发展。BSIMM数据显示,随着时间的推移,企业有了显着改善,许多企业已经达到了成熟度,他们开始关注活动的深度、广度和规模,而不是总是想着增加活动的数量。 领导一个有效的软件安全计划是出了名的具有挑战性,而DevOps和CI/CD带来的大规模技术和组织变革并没有使这项任务变得更容易。作为一种不断发展以反映全球数百个软件安全小组经验的工具,BSIMM和社区都是宝贵的资源,无论组织是刚刚开始他们的软件安全之旅、寻求优化他们的程序,还是应对新的挑战。 如果您对此内容感兴趣,请复制以下链接下载BSIMM10报告: www.bsimm.com/zh-cn/download.html【原创稿件,转载请注明原作者及出处】在.com的合作网站上转载]
