新思科技BSIMM13报告发现加强软件供应链安全实践显著增加
作者: 日期:2022年12月07日 阅:728

软件安全构建成熟度模型第13版显示,

保护开源组件并将安全性集成到开发人员工具链中的活动激增了近 50%

说到软件安全,没有人是孤岛。无论是个人还是企业,都无法做到完全自给自足,每个人都会需要依靠其他人获得帮助。在软件安全领域,了解同行的软件安全计划至关重要 — 哪些是有效的,哪些是失败的(也许这是最重要的,可以引以为戒并加以防范),哪些东西正在发生变化,以及如何应对这些变化。

新思科技(Synopsys, Nasdaq: SNPS)发布其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adob​​e、PayPal 和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。

报告强调了越来越多的 BSIMM 成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期 (SDLC) 中执行自动、持续的安全测试,并管理其完整应用组合的风险。

请下载BSIMM13报告

新思科技软件质量与安全部门总经理Jason Schmitt表示:“BSIMM13的调研发现,随着软件供应链的关注度提升,大多数企业都在采用基于风险预防的措施以确保应用安全。他们意识到安全不局限于代码库。安全涵盖软件开发过程、安全审查和测试‘无处不移’,以持续提升安全性。报告还表明,BSIMM成员企业的软件安全计划正趋向成熟。他们现在正在寻找解决方案,以推动其计划的可扩展性、效率和整体有效性。”

BSIMM13 由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:

  • 管理软件供应链风险及SBOM(软件物料清单)兴起。可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13 报告显示,在过去 12 个月中,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。
  • 将安全集成到开发人员工具链中。在过去 12 个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展,这是实施安全“无处不移”的策略的一部分。BSIMM13 数据指出,使企业能够将安全测试纳入QA(质量保证) 自动化的活动增加了 48%。
  • 将软件安全扩展到产品和应用之外。BSIMM13 数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为 CI/CD 创建的自动化)。过去 12 个月,利用运营数据进行持续改进的活动增长了 95%。
  • 通过自动化和持续测试实现安全“无处不移”。BSIMM13 数据报告称,82% 的 BSIMM 成员企业现在使用自动代码审查工具(在 BSIMM13 中排名前 10 最受关注的活动)。这增强了他们执行更快、增量安全测试和识别漏洞的能力,因为这些工具贯穿在SDLC中。

新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM 数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到 BSIMM 数据池中,且在其中执行统计分析,以突出 BSIMM 成员企业如何保护其软件的趋势。

除了发布其年度报告外,BSIMM 还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。

联想基础设施解决方案事业部产品安全部执行董事Bill Jaeger表示:“在 2015 年加入 BSIMM 社区后,我们发现每年更新的报告洞察可以帮助联想规划和衡量安全计划。这对我们了解客户最重要的实践领域也具有重要价值。此外,BSIMM 社区本身就是一个极好的资源,成员们慷慨地分享经验。他山之石,可以攻玉。我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”

请下载BSIMM13报告,获得更多行业数据分析。

致谢

新思科技在此感谢BSIMM13的作者,包括Jamie Boote、Eli Erlikhman、Stephen Gardner 和 Sammy Migues,以及 Kathy Clark-Fisher 和 Ryan Francis,他们的努力使 BSIMM 科学项目、会议和社区工作顺利开展。

部分参与评估的公司包括:AARP, Adobe, Aetna, Ally Bank, Axway, Bank of America, Bell Network, CIBC, Cisco, Citi, Diebold Nixdorf, Depository Trust & Cleaning Corporation, Egis, Eli Lilly and Company, eMoney Advisor, EQBank, Equifax, Fidelity, Finastra, Freddie Mac, F-Secure, Genetec, HCA Healthcare, Honeywell CE, HSBC, Imperva, Inspur, Intralinks, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, MediaTek, Medtronic, Navient, Navy Federal Credit Union, NEC, NetApp, Oppo, PayPal, Pegasystems, Principal Financial, Realtek, SambaSafety, ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, Trane, U.S. Bank, Veritas, Verizon Media, Vivo, World Wide Technology以及ZoomInfo。

文章来源:新思

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章