BSIMM13报告显示加强软件供应链安全实践显著增加
许多企业已经开始使用软件组成分析(SCA)工具来应对软件供应链风险管理挑战,以管理开源代码风险。在未来,企业将面临新的挑战,这可能涉及API攻击,也可能是一些之
前从未出现过的威胁。唯一可以确定的是,业界将面对更多的挑战,软件安全计划必须为应对这些挑战做好准备。了解重要的应用安全趋势可以帮助企业对自身安全工作做好战略性的改进规划。
新思科技(Synopsys, Nasdaq: SNPS)发布其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adobe、PayPal 和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。
报告强调了越来越多的 BSIMM 成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期 (SDLC) 中执行自动、持续的安全测试,并管理其完整应用组合的风险。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“BSIMM13的调研发现,随着软件供应链的关注度提升,大多数企业都在采用基于风险预防的措施以确保应用安全。他们意识到安全不局限于代码库。安全涵盖软件开发过程、安全审查和测试‘无处不移’,以持续提升安全性。报告还表明,BSIMM成员企业的软件安全计划正趋向成熟。他们现在正在寻找解决方案,以推动其计划的可扩展性、效率和整体有效性。”
BSIMM13 由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:
新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM 数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到 BSIMM 数据池中,且在其中执行统计分析,以突出 BSIMM 成员企业如何保护其软件的趋势。
除了发布其年度报告外,BSIMM 还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。
联想基础设施解决方案事业部产品安全部执行董事Bill Jaeger表示:“在 2015 年加入 BSIMM 社区后,我们发现每年更新的报告洞察可以帮助联想规划和衡量安全计划。这对我们了解客户最重要的实践领域也具有重要价值。此外,BSIMM 社区本身就是一个极好的资源,成员们慷慨地分享经验。他山之石,可以攻玉。我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”
好文章,需要你的鼓励
Zopa银行正式推出可在几分钟内开户的活期账户服务,面向其150万储蓄和贷款客户以外的更广泛用户群体。该账户此前已有6万名现有客户参与测试,正式发布时间比预期提前。作为金融科技先驱,Zopa在2020年获得完整银行牌照后推出首款储蓄产品,目前拥有140万客户,年收入超过3亿英镑,存款规模超过50亿英镑。
上海人工智能实验室的研究团队开发了VIKI-R框架,首次实现了让不同类型机器人像人类团队一样协作。该研究建立了全球首个多机器人视觉协作评估平台VIKI-Bench,通过队员选择、任务规划、轨迹感知三层测试体系全面评估协作能力。VIKI-R采用监督学习预热加强化学习优化的两阶段训练方法,在所有测试层级都取得显著性能提升,为智能制造、医疗服务等领域的机器人应用提供了重要技术突破。
Mozilla正式推出Firefox 140浏览器,作为扩展支持版本(ESR)发布。新版本增加了标签页卸载功能,可清理内存并在需要时重新加载。垂直标签页用户可调整固定标签区域大小,隐私翻译功能现可跟随滚动位置优先翻译当前查看区域。Android版本支持批量选择标签页,私人标签可通过密码或指纹保护。该版本同时更新ESR 128用户,为下游项目如Waterfox和Thunderbird提供新版本基础。
Yellow.ai研究团队开发了革命性的多模态文档分块技术,让AI系统能像人类一样"看"PDF文档,而非仅仅"读"文字。该方法采用批量视觉处理和上下文保持机制,解决了传统固定长度分块导致的表格分割、内容破碎等问题。在RAG系统测试中,准确率从78%提升至89%,显著改善了文档理解质量。