中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 報(bào)告 >
 首頁 > 資訊 > 報(bào)告 >

新思科技發(fā)布BSIMM10報(bào)告

--使用真實(shí)數(shù)據(jù)來促進(jìn)實(shí)施和改善軟件安全性計(jì)劃

2019-10-23 11:11:51   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  在這個(gè)數(shù)字化轉(zhuǎn)型和不斷變化的時(shí)代,構(gòu)建安全優(yōu)質(zhì)的軟件比以往任何時(shí)候都更具挑戰(zhàn)性。要想通過協(xié)調(diào)一致的方式灌輸、測(cè)量、管理和改善軟件安全活動(dòng),就需要執(zhí)行軟件安全計(jì)劃 (SSI)。
  還必須確保 SSI 與您的動(dòng)態(tài)開發(fā)環(huán)境保持同步,其中包括開發(fā)方法、DevOps 文化、部署環(huán)境、監(jiān)管要求、供應(yīng)鏈、軟件發(fā)布周期等等。要做到這一點(diǎn),您需要了解 SSI 的現(xiàn)狀,以及用于創(chuàng)建改進(jìn)策略和確定 SSI 更改優(yōu)先級(jí)的數(shù)據(jù)。
  新思科技軟件安全構(gòu)建成熟度模型(BSIMM) 是一種基準(zhǔn)測(cè)試工具,通過數(shù)據(jù)驅(qū)動(dòng)的客觀方式向您展示當(dāng)前軟件安全性活動(dòng)的概況。
  新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)--BSIMM10 。該模型旨在幫助企業(yè)規(guī)劃、執(zhí)行、完善和評(píng)估其軟件安全計(jì)劃(SSIs)。在過去的十年里,新思科技采用BSIMM對(duì)185家公司進(jìn)行了約450次評(píng)估,第十個(gè)版本反應(yīng)了觀察到的122家公司的軟件安全活動(dòng)。BSIMM10還強(qiáng)調(diào)了DevOps對(duì)軟件安全計(jì)劃的影響、工程導(dǎo)向的安全工作的新浪潮以及公司如何在軟件安全成熟度的三個(gè)階段前行。點(diǎn)擊以下鏈接,下載BSIMM10報(bào)告:www.bsimm.com/zh-cn/download.html. 
  MassMutual企業(yè)信息風(fēng)險(xiǎn)管理總監(jiān)Jim Routh表示:“自2008年起,BSIMM就作為評(píng)估各種類型和規(guī)模的組織的有效工具,包括全球一些先進(jìn)的安全團(tuán)隊(duì)正采用其軟件安全策略。最新的BSIMM數(shù)據(jù)反映了有多少家組織正調(diào)整其方法來應(yīng)對(duì)現(xiàn)代開發(fā)和部署實(shí)踐的新動(dòng)態(tài),比如縮短發(fā)布周期、增加自動(dòng)化的使用和軟件定義的基礎(chǔ)架構(gòu)。”
  BSIMM10描述了7,900名軟件安全專家的工作成果,這些成果對(duì)參與超過17.3萬應(yīng)用程序開發(fā)工作的47萬名開發(fā)人員有指導(dǎo)作用。BSIMM10代表的公司來自垂直行業(yè),包括金融服務(wù)、高科技、獨(dú)立軟件供應(yīng)商(ISVs),云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售業(yè)。
  BSIMM10報(bào)告的主要發(fā)現(xiàn)包括:
  • DevOps對(duì)軟件安全的影響:BSIMM數(shù)據(jù)顯示DevOps的發(fā)展以及持續(xù)集成和持續(xù)交付(CI/CD)工具正在影響公司實(shí)現(xiàn)軟件安全性的方式。這在BSIMM新增的三個(gè)活動(dòng)中可以看出,新的活動(dòng)反映了公司如何積極致力使安全活動(dòng)自動(dòng)化,來配合將業(yè)務(wù)功能推向市場(chǎng)的速度。BSIMM10也包括更新的描述和現(xiàn)有活動(dòng)的示例,以反映這些活動(dòng)如何作為現(xiàn)代DevOps組織實(shí)施的一部分。
  • 工程導(dǎo)向的安全文化的新浪潮:BSIMM10是第一個(gè)正式反映SSI文化發(fā)生變化的研究,工程主導(dǎo)的軟件安全工作是由開發(fā)和運(yùn)營團(tuán)隊(duì)自下而上驅(qū)動(dòng)的,而不像在集中式軟件安全小組自上而下。在一些組織中,工程主導(dǎo)的安全文化克服了建立和發(fā)展有意義的軟件安全工作的困難。工程導(dǎo)向的安全文化新浪潮的出現(xiàn),是應(yīng)對(duì)諸如敏捷和DevOps之類的現(xiàn)代軟件交付實(shí)踐的需求以及現(xiàn)有SSIs不希望產(chǎn)生的摩擦。
  • 公司采用BSIMM來為其軟件安全旅程導(dǎo)航:BSIMM10是首個(gè)定義SSI成熟度三個(gè)階段(興起、發(fā)展和優(yōu)化)的版本,并且描述了不同公司通常如何通過它們發(fā)展。BSIMM數(shù)據(jù)顯示,隨著時(shí)間的推移,企業(yè)得到了明顯改進(jìn),許多企業(yè)均已達(dá)到了一定的成熟度,以至于他們開始關(guān)注活動(dòng)的深度、廣度和規(guī)模,而不是總想著增加活動(dòng)數(shù)量。
  新思科技首席科學(xué)家Sammy Migues表示:“領(lǐng)導(dǎo)一個(gè)有效的軟件安全計(jì)劃是富有挑戰(zhàn)性的,而DevOps和CI/CD帶來的巨大技術(shù)和組織變革并沒有使這項(xiàng)任務(wù)變得更加容易。作為不斷發(fā)展以反映全球數(shù)百個(gè)軟件安全小組的經(jīng)驗(yàn)的工具,無論你是剛剛開始你的軟件安全旅程,尋求優(yōu)化程序或者應(yīng)對(duì)新的挑戰(zhàn),BSIMM以及社區(qū)都是寶貴的資源。”
  BSIMM包括的數(shù)據(jù)是從真正建立SSIs的公司收集而來,量化了119項(xiàng)活動(dòng)的發(fā)生,來展示許多計(jì)劃的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數(shù)據(jù)顯示高成熟度的計(jì)劃是全面的,涵蓋該模型所描述的全部 12項(xiàng)實(shí)踐中各種各樣的活動(dòng)。組織可以采用BSIMM來比較計(jì)劃并且決定哪些額外活動(dòng)可能對(duì)支持其整體戰(zhàn)略有意義。
  致謝
  新思科技首席科學(xué)家Sammy Migues,新思科技業(yè)務(wù)負(fù)責(zé)人Michael Ware以及ZeroNorth首席科技官John Steven,分析了過去11年軟件安全研究收集的數(shù)據(jù)后共同編寫了BSIMM10。部分參與評(píng)估的公司包括:Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo以及Zendesk.
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

相關(guān)閱讀:

專題

CTI論壇會(huì)員企業(yè)