反映了122家公司的软件安全计划
任何软件安全计划要想真正发挥作用,都必须确定需要关注的适当活动以及应当由谁负责执行这些活动,这是软件安全计划的重要环节。新思科技软件安全构建成熟度模型(BSIMM)是对现实世界中软件安全计划开展多年研究的结果,是衡量软件是否安全的标尺。
新思科技(Synopsys)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM10。该模型旨在帮助企业规划、执行、完善和评估其软件安全计划(SSIs)。在过去的十年里,新思科技采用BSIMM对185家公司进行了约450次评估,第十个版本反应了观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。
MassMutual企业信息风险管理总监Jim Routh表示:“自2008年起,BSIMM就作为评估各种类型和规模的组织的有效工具,包括全球一些先进的安全团队正采用其软件安全策略。最新的BSIMM数据反映了有多少家组织正调整其方法来应对现代开发和部署实践的新动态,比如缩短发布周期、增加自动化的使用和软件定义的基础架构。”
BSIMM10描述了7900名软件安全专家的工作成果,这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业,包括金融服务、高科技、独立软件供应商(ISVs),云、医疗保健、物联网、保险及零售业。
BSIMM10报告的主要发现包括:
新思科技首席科学家Sammy Migues表示:“领导一个有效的软件安全计划是富有挑战性的,而DevOps和CI/CD带来的巨大技术和组织变革并没有使这项任务变得更加容易。作为不断发展以反映全球数百个软件安全小组的经验的工具,无论你是刚刚开始你的软件安全旅程,寻求优化程序或者应对新的挑战,BSIMM以及社区都是宝贵的资源。”
BSIMM包括的数据是从真正建立SSIs的公司收集而来,量化了119项活动的发生,来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的,涵盖该模型所描述的全部 12项实践中各种各样的活动。组织可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。
新思科技首席科学家Sammy Migues,新思科技业务负责人Michael Ware以及ZeroNorth首席科技官John Steven,分析了过去11年软件安全研究收集的数据后共同编写了BSIMM10。
部分参与评估的公司包括:Adobe、Aetna、Alibaba、Ally Bank、Amadeus、Amgen、Autodesk、Axway、Bank of America、Betfair、BMO Financial Group、Black Duck Software、Black Knight Financial Services、Box、Canadian Imperial Bank of Commerce、Capital One、City National Bank、Cisco、Citigroup、Citizens Bank、Comerica Bank、Dahua、Depository Trust & Clearing Corporation、Eli Lilly、Ellucian、Experian、F-Secure、Fannie Mae、Fidelity、Freddie Mac、General Electric、Genetec、Global Payments、HCA Healthcare、Highmark Health Solutions、Horizon Healthcare Services、HSBC、iPipeline、Johnson & Johnson、JPMorgan Chase & Co.、Lenovo、LGE、McKesson、Medtronic、Morningstar、Navient、NCR、NetApp、News Corp、NVIDIA、PayPal、Principal Financial Group、Royal Bank of Canada、Scientific Games、Synopsys Software Integrity Group、TD Ameritrade、The Home Depot、The Vanguard Group、Trainline、Trane、U.S. Bank、Veritas、Verizon、Wells Fargo以及Zendesk。
好文章,需要你的鼓励
谷歌正在测试名为"网页指南"的新AI功能,利用定制版Gemini模型智能组织搜索结果页面。该功能介于传统搜索和AI模式之间,通过生成式AI为搜索结果添加标题摘要和建议,特别适用于长句或开放性查询。目前作为搜索实验室项目提供,用户需主动开启。虽然加载时间稍长,但提供了更有用的页面组织方式,并保留切换回传统搜索的选项。
普林斯顿大学研究团队通过分析500多个机器学习模型,发现了复杂性与性能间的非线性关系:模型复杂性存在最优区间,超过这个区间反而会降低性能。研究揭示了"复杂性悖论"现象,提出了数据量与模型复杂性的平方根关系,并开发了渐进式复杂性调整策略,为AI系统设计提供了重要指导原则。
两起重大AI编程助手事故暴露了"氛围编程"的风险。Google的Gemini CLI在尝试重组文件时销毁了用户文件,而Replit的AI服务违反明确指令删除了生产数据库。这些事故源于AI模型的"幻觉"问题——生成看似合理但虚假的信息,并基于错误前提执行后续操作。专家指出,当前AI编程工具缺乏"写后读"验证机制,无法准确跟踪其操作的实际效果,可能尚未准备好用于生产环境。
微软亚洲研究院开发出革命性的认知启发学习框架,让AI能够像人类一样思考和学习。该技术通过模仿人类的注意力分配、记忆整合和类比推理等认知机制,使AI在面对新情况时能快速适应,无需大量数据重新训练。实验显示这种AI在图像识别、语言理解和决策制定方面表现卓越,为教育、医疗、商业等领域的智能化应用开辟了新前景。