加州山景城,2022年9月21日从/ -Synopsys对此(纳斯达克:单核苷酸多态性),今日出版BSIMM13这是该年度的最新一期构建成熟度安全性模型(BSIMM)该报告分析了包括Adobe、PayPal和联想在内的130家组织的软件安全实践,这些组织累计为近41万名开发人员构建和维护的145,000多个应用程序提供了安全保障。
这些发现强调了活动的显著增加,表明BSIMM成员组织正在实现一种“处处转移”的方法,在整个软件开发生命周期(SDLC)中执行自动化和持续的安全测试,并在其完整的应用程序组合中管理风险。
如欲了解更多,请下载BSIMM13趋势和见解报告。
BSIMM13的调查结果表明,随着对软件供应链的关注,大多数企业组织正在采取基于风险的方法来解决应用程序安全问题。这种方法认识到安全性并不局限于代码库;它包括软件开发过程,其中安全审查和测试“到处转移”,以不断改进安全结果。Synopsys软件完整性集团总经理杰森·施密特说。“调查结果还表明,BSIMM成员组织的软件安全计划正在成熟,他们现在正在寻找方法来推动其程序的可扩展性、效率和整体有效性。”
由Synopsys软件完整性组,BSIMM13强调了过去12个月成员组织软件安全计划的发展趋势,包括:
- 管理软件供应链风险与soms的兴起
可能是由于最近备受关注的供应链攻击,管理软件供应链风险(通常通过识别和保护开源软件来实现)似乎是BSIMM成员组织的首要任务.BSIMM13报告说,在过去的12个月里,与控制开源风险相关的活动增加了51%,建立和维护软件材料清单(SBOM)以对其部署的软件中的组件进行全面编目的组织增加了30%。 - 将安全性集成到开发人员工具链中
在过去的12个月里,BSIMM组织在将安全选项集成到CI/CD管道和开发人员工具链方面取得了重大进展。BSIMM13数据指出,使组织能够在QA自动化中包含安全测试的活动增长了48%。 - 将软件安全扩展到产品和应用之外
BSIMM13数据还显示了活动的巨大增长,这些活动表明安全团队正在与运营合作,以保护不是应用程序的软件(例如为CI/CD创建的自动化),因为在过去12个月里,利用运营数据进行持续改进的活动增长了95%。 - “Shift Everywhere”的自动化和连续测试
BSIMM13数据报告称,82%的BSIMM成员组织现在使用自动化代码评审工具(在BSIMM13中排名前10位最受关注的活动之一),这解锁了他们执行更快、增量安全测试的能力,并识别在SDLC中引入的漏洞。
建立于2008年的BSIMM是一个成熟度模型,它观察和量化软件安全专业人员所执行的活动,以帮助更广泛的安全社区成员计划、执行和衡量他们组织的计划。BSIMM数据来源于BSIMM评估期间与成员组织进行的访谈。在评估之后,观察数据被匿名化并添加到BSIMM数据池中,在那里执行统计分析,以突出BSIMM组织如何保护其软件的趋势。
除了发布年度报告外,BSIMM还为会员提供了一个私人社区,通过社区讨论、博客、电子学习课程、网络研讨会和更多专注于在当今动态商业环境中保护软件的独家内容,与同行交流,学习最佳实践并获得新的见解。
联想基础设施解决方案集团产品安全办公室执行董事Bill Jaeger表示:“自2015年加入BSIMM社区以来,我们发现了利用从每年更新的观察中获得的见解来帮助我们规划和衡量我们自己的安全计划,并了解对客户最重要的实践领域的重大价值。”“此外,BSIMM社区本身就是一个极好的资源,成员们慷慨地分享经验和教训;我们都在一个相似的旅程中,刚刚开始软件安全计划的公司可以从那些更早开始的公司那里学到很多东西。”
那些有兴趣了解更多关于这些发现和BSIMM程序的人可以下载BSIMM13趋势与洞察报告或者是全长的BSIMM13基金会,提供了对数据的深入分析,并探讨了特定行业的趋势。
确认
Synopsys要感谢Jamie Boote, Eli Erlikhman, Stephen Gardner和Sammy Migues, BSIMM13的作者,以及Kathy Clark-Fisher和Ryan Francis,他们的幕后工作使BSIMM科学项目、会议和社区走上正轨。
参与BSIMM研究的公司包括:AARP, Adobe, Aetna, Ally银行,Axway,美国银行,Bell Network, CIBC, Cisco, Citi, Diebold Nixdorf, Depository Trust & Cleaning Corporation, Egis, Eli Lilly and Company, eMoney Advisor, EQBank, Equifax, Fidelity, Finastra, Freddie Mac, F-Secure, Genetec, HCA Healthcare, Honeywell CE, HSBC, Imperva, Inspur Software, Intralinks, iPipeline,强生,Landis+Gyr,联想,MassMutual,联发科,Medtronic, Navient,海军联邦信用联盟,NEC, NetApp, Oppo, PayPal, Pegasystems,Principal Financial, Realtek, SambaSafety, ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, Trane, U.S. Bank, Veritas, Verizon Media, Vivo, World Wide Technology, ZoomInfo。
关于BSIMM
构建安全性成熟度模型(Building Security in Maturity Model, BSIMM)建立于2008年,是一个用于创建、度量和评估软件安全计划的数据驱动工具。通过仔细研究和分析250多个软件安全计划,BSIMM13包括来自全球130个组织的当前真实数据。除了发布年度报告外,BSIMM还为成员组织提供了一个私人社区,通过社区讨论、博客、电子学习课程、网络研讨会等方式与同行交流,学习最佳实践并获得新的见解。要了解更多关于BSIMM计划的信息,请访问www.bsimm.com
关于Synopsys软件完整性组
Synopsys Software Integrity Group帮助开发团队构建安全、高质量的软件,最大限度地降低风险,同时最大限度地提高速度和生产力。Synopsys是应用程序安全领域公认的领导者,提供静态分析、软件组成分析和动态分析解决方案,使团队能够快速发现并修复专有代码、开源组件和应用程序行为中的漏洞和缺陷。通过结合行业领先的工具、服务和专业知识,只有Synopsys可以帮助组织优化DevSecOps和整个软件开发生命周期中的安全性和质量。欲知详情,请浏览www.synopsys.com/software.
关于Synopsys对此
Synopsys, Inc.(纳斯达克股票代码:SNPS)是创新公司的硅到软件™合作伙伴,开发我们每天依赖的电子产品和软件应用程序。作为标准普尔500指数的成分股,Synopsys在电子设计自动化(EDA)和半导体IP领域有着悠久的历史,并提供业界最广泛的应用安全测试工具和服务。无论您是开发先进半导体的片上系统(SoC)设计师,还是编写更安全、高质量代码的软件开发人员,Synopsys都能提供提供创新产品所需的解决方案。欲知详情,请浏览www.synopsys.com.
