Jelentés: A szervezetek 90%-a rendelkezik szoftverbiztonsági ellenőrző pontokkal a szoftverfejlesztési életciklusában (SDLC)

Nem tudott részt venni a Transform 2022 rendezvényen? Tekintse meg az összes legjobb előadást igény szerinti könyvtárunkban most! Nézz ide.


A Synopsys Building Security In Maturity Model (BSIMM) éves jelentésének legfrissebb kiadása szerint a megkérdezett tagszervezetek 90%-a beépített szoftverbiztonsági ellenőrző pontokat szoftverfejlesztési életciklusa (SDLC) során, ami azt jelzi, hogy ez fontos lépés a siker felé. szoftverbiztonsági kezdeményezések.

Emellett az elmúlt 12 hónapban 51%-kal nőtt a nyílt forráskódú kockázatkezeléssel kapcsolatos tevékenységek száma, valamint 30%-kal nőtt a szoftverszámlát (SBOM) építő és karbantartó szervezetek száma.

A Synopsys BSIMM-ről

A 2008-ban elindított BSIMM szoftverbiztonsági kezdeményezések létrehozására, mérésére és értékelésére szolgáló eszköz. Adatvezérelt modellt használ, amely az iparág legnagyobb globális kiberbiztonsági gyakorlatának adatkészletét használja ki. A BSIMM-et több mint 200 szoftverbiztonsági kezdeményezés alapos tanulmányozása és elemzése révén fejlesztették ki.

A kép forrása: Synopsys

A BSIMM13 jelentés 130 üzleti szervezet – köztük 48 Fortune 500 vállalat, például az Adobe, a Bank of America és a Lenovo – szoftverbiztonsági gyakorlatát elemezte a közel 410 000 fejlesztő által épített és karbantartott több mint 145 000 alkalmazás biztonságára irányuló összesített erőfeszítéseik során.

Esemény

MetaBeat 2022

A MetaBeat összehozza a gondolatvezetőket, hogy tanácsokat adjon arról, hogyan változtatja meg a metaverzum technológia az összes iparág kommunikációját és üzleti tevékenységét október 4-én San Franciscóban, Kaliforniában.

Itt regisztrálj

Az eredmények az aktivitás jelentős növekedését jelzik, ami azt jelzi, hogy a BSIMM tagszervezetei „átváltási” megközelítést alkalmaznak az SDLC automatizált és folyamatos biztonsági tesztelése érdekében, valamint a kockázatok kezelésében a teljes alkalmazásportfóliójukban.

Trendek évről évre

A tavalyi BSIMM12 és BSIMM13 közötti különbségek vizsgálatának egyik módja az, hogy olyan trendeket keresünk, mint például a megfigyelési arányok nagymértékű növekedése a közös tevékenységekben. Például az alább felsorolt ​​hat tevékenység észlelési aránya 20%-kal vagy magasabbra nőtt a BSIMM13 észlelésekben a tavalyi évhez képest. Ez a következőket tartalmazza:

  • 34% alkalmaz felhő biztonsági ellenőrzéseket.
  • 27%-a minden projektnél kötelezővé teszi a kód felülvizsgálatát.
  • 25% végzi el a szabványok felülvizsgálatát.
  • 25%-a támadási intelligenciát gyűjt és használ.
  • 24%-a nyílt forráskódú.
  • 20%-a megköveteli a biztonsági lemondást a megfeleléssel kapcsolatos kockázatok miatt.
A kép forrása: Synopsys.

Cselekszik

Függetlenül attól, hogy a szervezetek szoftverbiztonsági kezdeményezést építenek ki, vagy kiforrott programot tartanak fenn, a BSIMM13 adatai azt jelzik, hogy meg kell fontolniuk a következő kulcsfontosságú műveleteket:

Vezessen be automatizált szoftverbiztonsági eszközöket

Akár statikus, akár dinamikus tesztelésre vagy szoftverösszetétel elemzésre használják, ezek az eszközök segíthetnek a hibák kijavításában és a szoftver ismert sebezhetőségeinek azonosításában, függetlenül attól, hogy a szoftver belső fejlesztésű, harmadik féltől származó kereskedelmi szoftver vagy nyílt forráskódú.

Adatok felhasználása biztonsági döntések meghozatalához

Gyűjtse össze és egyesítse a biztonsági tesztelőeszközök adatait, és használja ezeket az adatokat szoftverbiztonsági szabályzatok létrehozására és érvényesítésére. Gyűjtsön adatokat arról, hogy milyen teszteket hajtottak végre és milyen problémákat fedeztek fel a biztonsági fejlesztések előmozdítása érdekében mind a szoftverfejlesztési életciklusban, mind az irányítási folyamatokban.

Lépjen a biztonsági tesztelés és a döntések automatizálása felé

Haladjon el az emberigényes manuális megközelítésektől a hatékonyabb, következetesebb és megismételhető automatizált megközelítések felé.

Váltson át a kisebb, automatizált ellenőrzésekre az SDLC-n belül

Amikor csak lehetséges, cserélje ki a kézi tevékenységeket, például a tolltesztelést vagy a kézi kódellenőrzést kisebb, gyorsabb, folyamatvezérelt tesztekre, amikor lehetőség nyílik szoftverek auditálására.

Hozzon létre egy átfogó SBOM-ot a lehető leghamarabb

A szoftveres anyagjegyzékben fel kell tüntetni az eszközöket, valamint a nyílt forráskódot és a harmadik féltől származó kódot.

A BSIMM egy nyílt szabvány szoftverbiztonsági gyakorlati keretrendszerrel, amelyet a szervezet felhasználhat saját szoftverbiztonsági erőfeszítéseinek értékelésére és fejlesztésére.

BSIMM módszertan

A BSIMM-adatok a BSIMM-értékelés során a tagvállalatokkal folytatott interjúkból származnak. Minden egyes áttekintés után a megfigyelési adatokat anonimizálják, és hozzáadják a BSIMM-adatbázishoz, ahol statisztikai elemzést végeznek annak érdekében, hogy rávilágítsanak a BSIMM-vállalatok szoftvereik védelmére vonatkozó trendekre.

Olvassa el a Synopsys teljes jelentését.

A VentureBeat küldetése egy digitális városi tér a technológiai döntéshozók számára, hogy megismerjék az átalakuló üzleti technológiát és a tranzakciókat. Fedezze fel tájékoztatónkat.

Leave a Comment

%d bloggers like this: