新思科技 (Synopsys, Inc.，Nasdaq: SNPS)宣布發(fā)布其最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)--BSIMM12。該模型旨在幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。BSIMM12反映了觀察到的128家公司的軟件安全實(shí)踐，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)等。BSIMM12描述了近3,000名軟件安全團(tuán)隊(duì)成員和6,000多名外圍小組成員的工作成果。BSIMM是全球企業(yè)衡量軟件安全的標(biāo)尺，他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。

　　現(xiàn)代軟件中開源組件盛行，而且利用開源漏洞進(jìn)行的攻擊頻發(fā)。BSIMM12數(shù)據(jù)表明過去兩年軟件安全企業(yè)對(duì)開源的識(shí)別和管理活動(dòng)增加了 61%。

　　與云平臺(tái)和容器技術(shù)相關(guān)的活動(dòng)的增長(zhǎng)表明，這些技術(shù)對(duì)企業(yè)如何使用和保護(hù)軟件產(chǎn)生了巨大影響。 例如，在過去兩年中，“對(duì)容器和虛擬化環(huán)境使用編排功能”的觀察增加了 560%。

　　請(qǐng)下載BSIMM12報(bào)告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　美國(guó)海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員，其首席信息安全官 Mick Ware表示：“過去18個(gè)月里，企業(yè)都經(jīng)歷了數(shù)字化轉(zhuǎn)型大幅加速。越來越多的企業(yè)采用軟件定義方式來部署和管理軟件環(huán)境以及云技術(shù)堆棧。鑒于這些變化的復(fù)雜性和速度之快，對(duì)于安全團(tuán)隊(duì)來說，擁有工具讓他們了解安全計(jì)劃的狀態(tài)，并為下一步的發(fā)展方向提供參考至關(guān)重要。BSIMM 是用于實(shí)現(xiàn)此目的的管理工具。BSIMM提供獨(dú)特的視角，可以了解企業(yè)如何改變實(shí)施軟件定義的安全功能（如策略即代碼）的策略，以與現(xiàn)代軟件開發(fā)原則和實(shí)踐保持一致。”

　　Genetec Inc.也是BSIMM社區(qū)的一員，其首席安全架構(gòu)師Mathieu Chevalier表示：“BSIMM 研究方便企業(yè)有一個(gè)基準(zhǔn)用來評(píng)估當(dāng)前的安全實(shí)踐，確定優(yōu)先事項(xiàng)及保持前瞻性，以應(yīng)對(duì)安全領(lǐng)域的新興趨勢(shì)。BSIMM 的描述性模型可幫助企業(yè)確定如何開始構(gòu)建軟件安全計(jì)劃并使其行之有效。BSIMM12對(duì)責(zé)任共擔(dān)模型的觀察尤其應(yīng)鼓勵(lì)安全領(lǐng)導(dǎo)者考慮他們?nèi)绾伟l(fā)展，以應(yīng)對(duì)和縮小其安全戰(zhàn)略中的任何潛在差距。”

　　蘭吉爾(Landis+Gyr)首席信息安全官Todd Wiedman表示：“BSIMM報(bào)告與行業(yè)最佳實(shí)踐步調(diào)一致。憑借BSIMM，我們可以了解不同開發(fā)團(tuán)隊(duì)觀察到的各種開發(fā)安全活動(dòng)的成熟度。隨著軟件開發(fā)實(shí)踐的加速，BSIMM12 數(shù)據(jù)解釋了安全開發(fā)計(jì)劃中發(fā)生的實(shí)際變化。 有了這些信息，企業(yè)可以調(diào)整自己的策略來保護(hù)自身和客戶，同時(shí)保持創(chuàng)新。” Landis+Gyr是 BSIMM社區(qū)成員企業(yè)。

　　Finastra 產(chǎn)品和數(shù)據(jù)安全計(jì)劃總監(jiān) Vinod Raghavan表示： “我們一直在使用 BSIMM 框架來提升安全戰(zhàn)略，這是產(chǎn)品和數(shù)據(jù)安全計(jì)劃的一部分。它有助于我們與金融服務(wù)及跨行業(yè)的其它企業(yè)進(jìn)行基準(zhǔn)比較，以提高安全成熟度。” Finastra是 BSIMM社區(qū)成員企業(yè)。

　　從維護(hù)傳統(tǒng)的運(yùn)營(yíng)庫(kù)存轉(zhuǎn)向自動(dòng)化資產(chǎn)發(fā)現(xiàn)和創(chuàng)建物料清單需要添加“無處不移”活動(dòng)，例如使用容器來強(qiáng)制實(shí)施安全控制、編排和掃描基礎(chǔ)設(shè)施即代碼。 BSIMM 觀察到更多活動(dòng)，諸如“通過運(yùn)維物料清單來增強(qiáng)應(yīng)用程序庫(kù)存盤點(diǎn)”、“對(duì)容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建”等活動(dòng)，都證明了上述趨勢(shì)。

　　新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“自 2008 年以來，BSIMM 咨詢、研究和數(shù)據(jù)專家一直在收集有關(guān)企業(yè)為應(yīng)對(duì)軟件安全挑戰(zhàn)所采取的不同途徑的信息。參與BSIMM評(píng)估的企業(yè)軟件安全計(jì)劃的平均年限為4.4年，反映了企業(yè)如何調(diào)整以應(yīng)對(duì)現(xiàn)代開發(fā)和部署實(shí)踐新趨勢(shì)。有了這些信息，企業(yè)就可以調(diào)整策略來保護(hù)他們的企業(yè)和客戶，并持續(xù)創(chuàng)新。”

　　了解更多，請(qǐng)下載BSIMM12報(bào)告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　新思科技首席科學(xué)家Sammy Migues，新思科技管理負(fù)責(zé)人Eli Erlikhman,新思科技首席安全顧問Jacob Ewers，Gemini 應(yīng)用安全總監(jiān)Kevin Nassery，分析了過去近13年軟件安全研究收集的數(shù)據(jù)，并共同編寫B(tài)SIMM12報(bào)告。部分參與評(píng)估的公司包括：AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell,  Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.