BSIMM12报告显示开源、云、容器安全活动增长显著
自2008年起,新思科技(Synopsys,Nasdaq:SNPS)每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈,收集不同企业的实际软件安全实践的定量数据,并分析汇总成为报告——软件安全构建成熟度模型(BSIMM)。近日,新思科技发布了BSIMM12报告。
BSIMM模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM12反映了观察到的128家公司的软件安全实践,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。BSIMM12描述了近3000名软件安全团队成员和6000多名外围小组成员的工作成果。BSIMM是全球企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。
现代软件中开源组件盛行,而且利用开源漏洞进行的攻击频发。BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了61%。
与云平台和容器技术相关的活动的增长表明,这些技术对企业如何使用和保护软件产生了巨大影响。 例如,在过去两年中,“对容器和虚拟化环境使用编排功能”的观察增加了560%。
美国海军联邦信用合作社(Navy Federal Credit Union)是BSIMM社区的一员,其首席信息安全官 Mick Ware表示:“过去18个月里,企业都经历了数字化转型大幅加速。越来越多的企业采用软件定义方式来部署和管理软件环境以及云技术堆栈。鉴于这些变化的复杂性和速度之快,对于安全团队来说,拥有工具让他们了解安全计划的状态,并为下一步的发展方向提供参考至关重要。BSIMM是用于实现此目的的管理工具。BSIMM提供独特的视角,可以了解企业如何改变实施软件定义的安全功能(如策略即代码)的策略,以与现代软件开发原则和实践保持一致。”
Genetec Inc.也是BSIMM社区的一员,其首席安全架构师Mathieu Chevalier表示:“BSIMM研究方便企业有一个基准用来评估当前的安全实践,确定优先事项及保持前瞻性,以应对安全领域的新兴趋势。BSIMM的描述性模型可帮助企业确定如何开始构建软件安全计划并使其行之有效。BSIMM12对责任共担模型的观察尤其应鼓励安全领导者考虑他们如何发展,以应对和缩小其安全战略中的任何潜在差距。”
兰吉尔(Landis+Gyr)首席信息安全官Todd Wiedman表示:“BSIMM报告与行业最佳实践步调一致。凭借BSIMM,我们可以了解不同开发团队观察到的各种开发安全活动的成熟度。随着软件开发实践的加速,BSIMM12数据解释了安全开发计划中发生的实际变化。 有了这些信息,企业可以调整自己的策略来保护自身和客户,同时保持创新。” Landis+Gyr是BSIMM社区成员企业。
Finastra产品和数据安全计划总监Vinod Raghavan表示: “我们一直在使用BSIMM框架来提升安全战略,这是产品和数据安全计划的一部分。它有助于我们与金融服务及跨行业的其它企业进行基准比较,以提高安全成熟度。” Finastra是BSIMM社区成员企业。
BSIMM12报告发现的新趋势包括:
从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动,例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。 BSIMM观察到更多活动,诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动,都证明了上述趋势。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“自2008年以来,BSIMM咨询、研究和数据专家一直在收集有关企业为应对软件安全挑战所采取的不同途径的信息。参与BSIMM评估的企业软件安全计划的平均年限为4.4年,反映了企业如何调整以应对现代开发和部署实践新趋势。有了这些信息,企业就可以调整策略来保护他们的企业和客户,并持续创新。”
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。