Отчет: 90 % организаций имеют контрольные точки безопасности программного обеспечения в жизненном цикле разработки программного обеспечения (SDLC).


Вы не смогли посетить Transform 2022? Ознакомьтесь со всеми сессиями саммита в нашей доступной библиотеке прямо сейчас! Смотреть здесь.


Согласно последнему выпуску ежегодного Synopsys Модель обеспечения безопасности в стадии зрелости (BSIMM) отчет, 90% опрошенных организаций-членов установили контрольные точки безопасности программного обеспечения в своих жизненный цикл разработки ПО (SDLC), что указывает на то, что это важный шаг к успеху в их инициативах по обеспечению безопасности программного обеспечения.

Кроме того, за последние 12 месяцев на 51 % увеличилось количество операций, связанных с контролем рисков, связанных с открытым исходным кодом, а также на 30 % увеличилось количество организаций, создающих и поддерживающих спецификацию программного обеспечения (SBOM).

О Synopsys BSIMM

BSIMM, запущенный в 2008 году, представляет собой инструмент для создания, измерения и оценки инициатив в области безопасности программного обеспечения. В нем используется модель, основанная на данных, в которой используется крупнейший в отрасли набор данных о мировых практиках кибербезопасности. BSIMM был разработан на основе тщательного изучения и анализа более 200 инициатив по обеспечению безопасности программного обеспечения.

Источник изображения: Синопсис

В отчете BSIMM13 проанализированы методы обеспечения безопасности программного обеспечения в 130 корпоративных организациях, включая 48 компаний из списка Fortune 500, таких как Adobe, Bank of America и Lenovo, в их совокупных усилиях по обеспечению безопасности более 145 000 приложений, созданных и поддерживаемых почти 410 000 разработчиков.

Мероприятие

Метабит 2022

MetaBeat соберет лидеров мнений, чтобы дать рекомендации о том, как технология метавселенной изменит способ общения и ведения бизнеса во всех отраслях, 4 октября в Сан-Франциско, Калифорния.

Зарегистрируйтесь здесь

Полученные данные свидетельствуют о значительном увеличении активности, которая указывает на то, что организации-члены BSIMM внедряют подход «перемещайся повсюду» для выполнения автоматизированного и непрерывного тестирования безопасности в рамках SDLC и управления рисками во всем своем портфеле приложений.

Годовые тенденции

Один из способов изучить различия между прошлогодними BSIMM12 и BSIMM13 — найти тенденции, такие как высокий рост показателей наблюдения среди общих видов деятельности. Например, уровень наблюдения за шестью действиями ниже вырос на 20% или выше в наблюдениях BSIMM13 по сравнению с прошлым годом. Это включает в себя следующее:

  • 34% реализуют облачная безопасность контролирует.
  • 27% делают код-ревью обязательным для всех проектов.
  • 25% создают процесс пересмотра стандартов.
  • 25% собирают и используют информацию об атаках.
  • 24% идентифицируют открытый исходный код.
  • 20 % требуют подтверждения безопасности в случае риска, связанного с соблюдением нормативных требований.
Источник изображения: Синопсис.

Принятие мер

Независимо от того, находятся ли организации в процессе создания инициативы по обеспечению безопасности программного обеспечения или поддержки зрелой программы, данные BSIMM13 показывают, что им следует рассмотреть следующие ключевые действия:

Внедрите автоматизированные инструменты безопасности программного обеспечения

Независимо от того, используются ли они для статического или динамического тестирования или анализа состава программного обеспечения, эти инструменты могут помочь устранить дефекты и выявить известные уязвимости в вашем программном обеспечении, независимо от того, было ли это программное обеспечение разработано собственными силами, является ли оно коммерческим программным обеспечением третьих сторон или имеет открытый исходный код.

Используйте данные для принятия решений по безопасности

Собирайте и объединяйте данные с вашего инструменты тестирования безопасности и использовать эти данные для создания и применения политик безопасности программного обеспечения. Собирайте данные о том, какое тестирование было проведено и какие проблемы были обнаружены, чтобы улучшить безопасность как в жизненном цикле разработки программного обеспечения, так и в ваших процессах управления.

Переход к автоматизации тестирования безопасности и принятия решений

Откажитесь от ручных подходов, требующих большого количества людей, к более эффективным, последовательным и воспроизводимым автоматизированным подходам.

Переход к более мелким автоматизированным проверкам в рамках SDLC

По возможности заменяйте ручные действия, такие как ручное тестирование или проверка кода вручную, меньшим, более быстрым, управляемым конвейером тестированием всякий раз, когда есть возможность проверить программное обеспечение.

Создайте всеобъемлющую SBOM как можно скорее

Спецификация программного обеспечения должна содержать список ваших активов, а также код с открытым исходным кодом и сторонний код.

BSIMM — это открытый стандарт, который включает структуру, основанную на методах обеспечения безопасности программного обеспечения, которую организация может использовать для оценки и совершенствования своих усилий в области безопасности программного обеспечения.

Методология BSIMM

Данные BSIMM получены из интервью, проведенных с фирмами-членами во время оценки BSIMM. После каждой оценки данные наблюдения анонимизируются и добавляются в пул данных BSIMM, где выполняется статистический анализ, чтобы выявить тенденции в том, как фирмы BSIMM защищают свое программное обеспечение.

Читать полный отчет из Синопсиса.

Миссия VentureBeat должна стать цифровой городской площадью, на которой лица, принимающие технические решения, смогут получить знания о трансформирующих корпоративных технологиях и заключать сделки. Откройте для себя наши брифинги.

Leave a Comment