新思科技BSIMM13報告顯示加強軟件供應(yīng)鏈安全實踐顯著增加

時間：2022-11-09 17:19:03

關(guān)鍵字：新思科技 BSIMM13

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]保護開源組件并將安全性集成到開發(fā)人員工具鏈中的活動激增了近 50%

無規(guī)劃，不安全。通常軟件安全計劃比較成功的企業(yè)都設(shè)有專門的軟件安全小組。該小組一開始可能只是一人團隊(整個團隊只有軟件安全主管一個人)，后來隨著時間的推移而不斷發(fā)展壯大。了解重要的應(yīng)用安全趨勢可以幫助軟件安全小組做好戰(zhàn)略性的改進(jìn)規(guī)劃。

新思科技BSIMM13報告顯示加強軟件供應(yīng)鏈安全實踐顯著增加

新思科技(Synopsys, Nasdaq: SNPS)發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)的第13版——BSIMM13。該報告分析了Adobe、PayPal 和聯(lián)想在內(nèi)的130家企業(yè)的軟件安全實踐。BSIMM13涵蓋了410,000多名開發(fā)人員為軟件安全做出長期努力的成果，他們構(gòu)建和維護了超過145,000個應(yīng)用程序。

報告強調(diào)了越來越多的 BSIMM 成員企業(yè)正在實施安全“無處不移”的策略，以在整個軟件開發(fā)生命周期 (SDLC) 中執(zhí)行自動、持續(xù)的安全測試，并管理其完整應(yīng)用組合的風(fēng)險。

請下載BSIMM13報告。

新思科技BSIMM13報告顯示加強軟件供應(yīng)鏈安全實踐顯著增加

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“BSIMM13的調(diào)研發(fā)現(xiàn)，隨著軟件供應(yīng)鏈的關(guān)注度提升，大多數(shù)企業(yè)都在采用基于風(fēng)險預(yù)防的措施以確保應(yīng)用安全。他們意識到安全不局限于代碼庫。安全涵蓋軟件開發(fā)過程、安全審查和測試‘無處不移’，以持續(xù)提升安全性。報告還表明，BSIMM成員企業(yè)的軟件安全計劃正趨向成熟。他們現(xiàn)在正在尋找解決方案，以推動其計劃的可擴展性、效率和整體有效性?！?

BSIMM13 由新思科技軟件質(zhì)量與安全部門進(jìn)行匯總分析，重點介紹了過去 12 個月內(nèi)成員企業(yè)的軟件安全計劃的演變趨勢，包括：

· 管理軟件供應(yīng)鏈風(fēng)險及SBOM(軟件物料清單)興起?？赡苡捎诮诒容^頻繁的供應(yīng)鏈攻擊事件影響，管理軟件供應(yīng)鏈風(fēng)險(最常見的是通過識別和保護開源軟件來執(zhí)行)成為BSIMM成員企業(yè)的首要任務(wù)。BSIMM13 報告顯示，在過去 12 個月中，與控制開源風(fēng)險相關(guān)的活動增加了 51%，通過構(gòu)建和維護SBOM以對其部署的軟件中的組件進(jìn)行全面分類的企業(yè)增加了 30% 。

· 將安全集成到開發(fā)人員工具鏈中。在過去 12 個月中，BSIMM成員企業(yè)在將安全集成到CI/CD管道和開發(fā)人員工具鏈方面取得了重要的進(jìn)展，這是實施安全“無處不移”的策略的一部分。BSIMM13 數(shù)據(jù)指出，使企業(yè)能夠?qū)踩珳y試納入QA(質(zhì)量保證) 自動化的活動增加了 48%。

· 將軟件安全擴展到產(chǎn)品和應(yīng)用之外。BSIMM13 數(shù)據(jù)還顯示安全團隊正在與運營合作開展更多的活動，以保護不是應(yīng)用程序的軟件(例如為 CI/CD 創(chuàng)建的自動化)。過去 12 個月，利用運營數(shù)據(jù)進(jìn)行持續(xù)改進(jìn)的活動增長了 95%。

· 通過自動化和持續(xù)測試實現(xiàn)安全“無處不移”。BSIMM13 數(shù)據(jù)報告稱，82% 的 BSIMM 成員企業(yè)現(xiàn)在使用自動代碼審查工具(在 BSIMM13 中排名前 10 最受關(guān)注的活動)。這增強了他們執(zhí)行更快、增量安全測試和識別漏洞的能力，因為這些工具貫穿在SDLC中。

新思科技自2008年起發(fā)布BSIMM報告。該報告是一種成熟度模型，觀察和量化軟件安全人員執(zhí)行的活動，以幫助更廣泛的安全社區(qū)成員規(guī)劃、執(zhí)行和衡量自身的舉措。BSIMM 數(shù)據(jù)來源于在評估期間與成員企業(yè)進(jìn)行的深度訪談。在評估之后，觀察數(shù)據(jù)被匿名化并添加到 BSIMM 數(shù)據(jù)池中，且在其中執(zhí)行統(tǒng)計分析，以突出 BSIMM 成員企業(yè)如何保護其軟件的趨勢。

除了發(fā)布其年度報告外，BSIMM 還為成員企業(yè)搭建社區(qū)平臺，通過社區(qū)討論、博客、電子學(xué)習(xí)課程、網(wǎng)絡(luò)研討會和分享軟件安全的獨家內(nèi)容等，與同行互動、學(xué)習(xí)最佳實踐并獲得對不斷變化的商業(yè)環(huán)境的新見解。

聯(lián)想基礎(chǔ)設(shè)施解決方案事業(yè)部產(chǎn)品安全部執(zhí)行董事Bill Jaeger表示：“在 2015 年加入 BSIMM 社區(qū)后，我們發(fā)現(xiàn)每年更新的報告洞察可以幫助聯(lián)想規(guī)劃和衡量安全計劃。這對我們了解客戶最重要的實踐領(lǐng)域也具有重要價值。此外，BSIMM 社區(qū)本身就是一個極好的資源，成員們慷慨地分享經(jīng)驗。他山之石，可以攻玉。我們都踏上了相似的安全之旅，剛起步的企業(yè)可以借鑒已經(jīng)有成果的企業(yè)的軟件安全計劃實踐?！?

請下載BSIMM13報告，獲得更多行業(yè)數(shù)據(jù)分析。