强调DevOps和数字化转型下软件安全计划的根本转变
软件安全构建成熟度模型第十一个版本反映了企业如何调整其软件安全计划以支持现代软件开发范例
新思科技(Synopsys,Nasdaq:SNPS)宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。BSIMM11描述了8457名软件安全专家的工作成果,这些成果对超过49万名开发人员有指导作用。
BSIMM是企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。 BSIMM11表明,许多企业正在调整其软件安全计划,以支持数字化转型和DevOps等现代软件开发范例。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mike Newborn表示:“对于有兴趣学习同行经验,尤其是如何解决新的或正在涌现的挑战的安全领导者而言,BSIMM提供丰富的资源。如今,大多数企业都面临着这样的挑战:一方面需要加速软件开发和推出市场;另一方面又要确保日益增多的软件应用的安全。BSIMM11反映了这些企业中有多少家正在调整其软件安全策略,在持续创新或保障开发速度的同时保护自己和客户的软件应用安全。”
BSIMM11报告发现的新趋势包括:
新思科技高级技术总监兼BSIMM报告联合作者Michael Ware表示:“在过去的几年中,现代软件的构建和部署方式有了巨大改变,因此,为确保软件安全所需的举措自然也在发生变化。企业业务高度依赖软件,现代方法论加快了开发速度。因此,软件的数量不断在攀升,我们也仍然需要担心先前开发的软件是否有风险。BSIMM是不断发展的软件安全构建成熟度模型,它代表着全球数百个软件安全企业,包括一些全球领先的团队,正在采取的举措,提供了近乎实时的行业实践,了解如何实施新举措以保护不断增加的软件产品组合。”
BSIMM中新的活动代表着向DevSecOps的转变
在过去的一年中,添加到BSIMM10中的三个活动取得了惊人的增长(SM3.4集成软件定义生命周期管理、AM3.3监控自动化资产创建工作和CMVM3.5自动验证运营基础运维安全性)。这反映了一些企业如何积极加速软件安全工作,以适应软件交付的速度。此外,BSIMM11中添加的两个活动显示了这一趋势在延续(ST3.6自动实施事件驱动的安全性测试,CMVM3.6发布可部署工件的风险数据)。
不同行业中BSIMM的应用
BSIMM提供了以数据为依据的独特见解,以了解和比较各个行业中软件安全计划的相对优势和劣势。云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异:金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队,因此,与医疗保健和保险行业相比,拥有更为成熟的软件安全实践。BSIMM首次归纳金融科技行业的数据,并发现它与金融服务的追踪非常接近,主要的差异(有利于金融科技)体现在培训、安全测试和代码审查实践中。
好文章,需要你的鼓励
当前企业面临引入AI的机遇与挑战。管理层需要了解机器学习算法基础,包括线性回归、神经网络等核心技术。专家建议从小规模试点开始,优先选择高影响用例,投资数据治理,提升员工技能。对于影子IT现象,应将其视为机会而非问题,建立治理流程将有效工具正式化。成功的AI采用需要明确目标、跨部门协作、变革管理和持续学习社区建设。
这项由东京科学技术大学等机构联合发布的研究提出了UMoE架构,通过重新设计注意力机制,实现了注意力层和前馈网络层的专家参数共享。该方法在多个数据集上显著优于现有的MoE方法,同时保持了较低的计算开销,为大语言模型的高效扩展提供了新思路。
美国垃圾收集行业2024年创收690亿美元,近18万辆垃圾车每周运营六至七天,每日停靠超千次。设备故障成为行业最大隐性成本,每辆车年均故障费用超5000美元。AI技术通过实时监控传感器数据,能提前数周预测故障,优化零部件库存管理,减少重复维修。车队报告显示,预测性维护每辆车年节省高达2500美元,显著提升运营效率和服务可靠性。
小米团队开发的MiMo-7B模型证明了AI领域"小而精"路线的可行性。这个仅有70亿参数的模型通过创新的预训练数据处理、三阶段训练策略和强化学习优化,在数学推理和编程任务上超越了320亿参数的大模型,甚至在某些指标上击败OpenAI o1-mini。研究团队还开发了高效的训练基础设施,将训练速度提升2.29倍。该成果已完全开源,为AI民主化发展提供了新思路。