强调DevOps和数字化转型下软件安全计划的根本转变
软件安全构建成熟度模型第十一个版本反映了企业如何调整其软件安全计划以支持现代软件开发范例
新思科技(Synopsys,Nasdaq:SNPS)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明,许多企业正在调整其软件安全计划,以支持数字化转型和DevOps等现代软件开发范例。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mike Newborn表示:“对于有兴趣学习同行经验,尤其是如何解决新的或正在涌现的挑战的安全领导者而言,BSIMM提供丰富的资源。如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略,在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”
BSIMM11报告发现的新趋势包括:
新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示:“在过去的几年中,现代软件的构建和部署方式有了巨大改变,因此,为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件,现代方法论加快了开发速度。因此,软件的数量不断在攀升,我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队,正在采取的举措,提供了近乎实时的行业实践,了解如何实施新举措以保护不断增加的软件产品组合。”
BSIMM中新的活动代表着向DevSecOps的转变
在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作,以适应软件交付的速度。此外,BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6自动实施事件驱动的安全性测试,CMVM3.6发布可部署工件的风险数据)。
不同行业中BSIMM的应用
BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。
好文章,需要你的鼓励
AI项目从试点转向生产阶段时,企业面临意外的云成本激增问题。推理工作负载需要全天候运行以确保服务正常,成本可能一夜间飙升1000%以上。许多公司每月费用从5000美元激增至50000美元。为控制成本,企业开始采用混合架构:将推理工作负载迁移至本地或托管设施,训练任务保留在云端。这种模式可削减60-80%的基础设施支出,在保持性能的同时实现成本可预测性。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
企业在AI模型选择上面临开放源码与封闭专有技术的抉择,这一选择对财务和定制化都有重要影响。开放模型如Meta Llama提供更大控制权和定制选项,而封闭模型如OpenAI GPT-4o提供简化使用和企业级支持。专家建议采用投资组合策略,根据准确性、延迟、成本、安全性等因素选择合适模型,而非单一选择。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。