许多企业已经开始使用软件组成分析(SCA)工具来应对软件供应链风险管理挑战,以管理开源代码风险。在未来,企业将面临新的挑战,这可能涉及API攻击,也可能是一些之

前从未出现过的威胁。唯一可以确定的是,业界将面对更多的挑战,软件安全计划必须为应对这些挑战做好准备。了解重要的应用安全趋势可以帮助企业对自身安全工作做好战略性的改进规划。

新思科技(Synopsys,Nasdaq:SNPS)发布其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adobe、PayPal和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。

BSIMM13

BSIMM13

报告强调了越来越多的BSIMM成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期(SDLC)中执行自动、持续的安全测试,并管理其完整应用组合的风险。

新思科技软件质量与安全部门总经理Jason Schmitt表示:“BSIMM13的调研发现,随着软件供应链的关注度提升,大多数企业都在采用基于风险预防的措施以确保应用安全。他们意识到安全不局限于代码库。安全涵盖软件开发过程、安全审查和测试‘无处不移’,以持续提升安全性。报告还表明,BSIMM成员企业的软件安全计划正趋向成熟。他们现在正在寻找解决方案,以推动其计划的可扩展性、效率和整体有效性。”

BSIMM13 Report

BSIMM13 Report

BSIMM13由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去12个月内成员企业的软件安全计划的演变趋势,包括:

管理软件供应链风险及SBOM(软件物料清单)兴起。可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13报告显示,在过去12个月中,与控制开源风险相关的活动增加了51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了30%。

将安全集成到开发人员工具链中。在过去12个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展,这是实施安全“无处不移”的策略的一部分。BSIMM13数据指出,使企业能够将安全测试纳入QA(质量保证)自动化的活动增加了48%。

将软件安全扩展到产品和应用之外。BSIMM13数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为CI/CD创建的自动化)。过去12个月,利用运营数据进行持续改进的活动增长了95%。

通过自动化和持续测试实现安全“无处不移”。BSIMM13数据报告称,82%的BSIMM成员企业现在使用自动代码审查工具(在BSIMM13中排名前10最受关注的活动)。这增强了他们执行更快、增量安全测试和识别漏洞的能力,因为这些工具贯穿在SDLC中。

新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到BSIMM数据池中,且在其中执行统计分析,以突出BSIMM成员企业如何保护其软件的趋势。

除了发布其年度报告外,BSIMM还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。

联想基础设施解决方案事业部产品安全部执行董事Bill Jaeger表示:“在2015年加入BSIMM社区后,我们发现每年更新的报告洞察可以帮助联想规划和衡量安全计划。这对我们了解客户最重要的实践领域也具有重要价值。此外,BSIMM社区本身就是一个极好的资源,成员们慷慨地分享经验。他山之石,可以攻玉。我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”

请下载BSIMM13报告,获得更多行业数据分析。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2021-06-21 16:21:00
国内资讯 2021可信云大会 | 聚焦软件安全,研发运营安全工具系列标准即将发布
伴随着5G、云计算、人工智能、大数据等技术日新月异,数字化转型进程逐步推进,向各行各业渗透。 <详情>
2020-11-24 13:24:00
互联网 新思科技杨国梁:如何评估SSI是否有效?
随着5G、边缘计算、大数据以及物联网的快速发展,无人驾驶、智能工厂全面普及,人人互联、机机互联,甚至人机互联成为可能,在信息化迅速发展的今天,软件应用服务正渗透到 <详情>
2020-11-17 18:09:47
互联网 从安全“左移”到“无处不移” | 新思科技BSIMM11报告发布
近日,新思科技宣布发布其最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM11。 <详情>
2015-11-09 10:10:00
国内资讯 通付盾汪德嘉:企业移动应用安全解决之道
“工业革命4.0”时代,移动互联成为这个时代的关键词,互联网金融也顺势发展起来。随着传统金融行业相对封闭的体系逐渐解构,如何在一个开放的环境中开辟一个安全的通道是 <详情>
2013-07-15 10:08:33
云资讯 五个对策避开云计算供应商“留客”陷阱
我们需要通过一系列问题来弄清当前安全控制架构的具体情况,这样才能避免陷入云计算供应商们的“留客”陷阱。 <详情>