强调DevOps和数字化转型下软件安全计划的根本转变
软件安全构建成熟度模型第十一个版本反映了企业如何调整其软件安全计划以支持现代软件开发范例
新思科技(Synopsys,Nasdaq:SNPS)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明,许多企业正在调整其软件安全计划,以支持数字化转型和DevOps等现代软件开发范例。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mike Newborn表示:“对于有兴趣学习同行经验,尤其是如何解决新的或正在涌现的挑战的安全领导者而言,BSIMM提供丰富的资源。如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略,在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”
BSIMM11报告发现的新趋势包括:
新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示:“在过去的几年中,现代软件的构建和部署方式有了巨大改变,因此,为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件,现代方法论加快了开发速度。因此,软件的数量不断在攀升,我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队,正在采取的举措,提供了近乎实时的行业实践,了解如何实施新举措以保护不断增加的软件产品组合。”
BSIMM中新的活动代表着向DevSecOps的转变
在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作,以适应软件交付的速度。此外,BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6自动实施事件驱动的安全性测试,CMVM3.6发布可部署工件的风险数据)。
不同行业中BSIMM的应用
BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。