首页 科技资讯 业界

新思科技BSIMM12:影响广泛的勒索软件和软件供应链中断促使软件安全备受关注

【TechWeb】11月9日消息,自2008年起,新思科技的软件安全构建成熟度模型(BSIMM)就作为评估各种类型和规模的组织的有效工具,包括全球一些先进的安全团队正采用其软件安全策略。最新的BSIMM数据反映了企业正调整其方法来应对现代开发和部署实践的新动态,比如增加开源、云、容器方面的安全活动。

新思科技宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM12。该模型旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM12反映了观察到的128家公司的软件安全实践,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网等。BSIMM12描述了近3,000名软件安全团队成员和6,000多名外围小组成员的工作成果。BSIMM是全球企业衡量软件安全的标尺,他们可以将自己的软件安全计划与BSIMM社区的数据进行比较。

现代软件中开源组件盛行,而且利用开源漏洞进行的攻击频发。BSIMM12数据表明过去两年软件安全企业对开源的识别和管理活动增加了 61%。

与云平台和容器技术相关的活动的增长表明,这些技术对企业如何使用和保护软件产生了巨大影响。 例如,在过去两年中,“对容器和虚拟化环境使用编排功能”的观察增加了 560%。

BSIMM12报告发现的新趋势包括:

影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全。 BSIMM 数据显示,在过去两年中,参与评估的企业中,进行“识别开源代码”活动增加了 61%,“创建 SLA 样板文件”活动增加了 57%。

企业开始学习如何将风险转化为数据。 企业正更加努力地收集和发布他们的软件安全计划数据。过去 24 个月“在内部发布有关软件安全的数据”活动增加了 30%,证明了这一点。

增强的云安全功能。 管理层的日益关注,再加上工程化的驱动,使得企业开始培养自己的云安全管理能力以及评估他们的责任共担模型。过去两年中,与云安全相关的活动平均有36次新观察结果。

安全团队正在借调资源、人员和知识用于DevSecOps活动。BSIMM 数据显示,软件安全团队正在从强制性的软件安全行为朝着合作伙伴角色转移——为 DevOps 实践提供资源、人员和知识,目的是将安全工作纳入软件交付的关键路径。

软件物料清单活动增加了 367%。 BSIMM 数据显示专注于以下内容的能力有所增加,包括软件物料清单的功能; 创建软件物料清单 (BOM); 了解软件是如何构建、配置和部署的; 以及提高企业基于安全遥测重新部署的能力。数据证明许多企业已经重视对全面、最新的软件 BOM 的需求,与这些功能相关的 BSIMM 活动(“通过运维物料清单来增强应用程序库存盘点”)在过去两年从3次增加到14次,增长了367%。

安全“左移”变为“无处不移”。 “左移”的概念侧重于在开发过程中更早地进行安全测试。 “无处不移”将安全测试扩展到在整个软件生命周期中持续进行,包括尽早进行更小、更快、管道驱动的安全测试,这可能是在设计阶段,甚至在生产阶段。

从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动,例如使用容器来强制实施安全控制、编排和扫描基础设施即代码。 BSIMM 观察到更多活动,诸如“通过运维物料清单来增强应用程序库存盘点”、“对容器和虚拟化环境使用编排功能”以及“监控自动化资产创建”等活动,都证明了上述趋势。

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多