强调DevOps和数字化转型下软件安全计划的根本转变
软件安全构建成熟度模型第十一个版本反映了企业如何调整其软件安全计划以支持现代软件开发范例
新思科技(Synopsys,Nasdaq:SNPS)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明,许多企业正在调整其软件安全计划,以支持数字化转型和DevOps等现代软件开发范例。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mike Newborn表示:“对于有兴趣学习同行经验,尤其是如何解决新的或正在涌现的挑战的安全领导者而言,BSIMM提供丰富的资源。如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略,在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”
BSIMM11报告发现的新趋势包括:
新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示:“在过去的几年中,现代软件的构建和部署方式有了巨大改变,因此,为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件,现代方法论加快了开发速度。因此,软件的数量不断在攀升,我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队,正在采取的举措,提供了近乎实时的行业实践,了解如何实施新举措以保护不断增加的软件产品组合。”
BSIMM中新的活动代表着向DevSecOps的转变
在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作,以适应软件交付的速度。此外,BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6自动实施事件驱动的安全性测试,CMVM3.6发布可部署工件的风险数据)。
不同行业中BSIMM的应用
BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。