- 发表时间:2020-08-23 22:06
- 来源:数度域
独立的软件供应商,以及物联网和云供应商,都参与了市场转型,这使得他们看起来更加相似。根据[/h/
synopsys周二发布了其第九个年度建筑安全成熟度模型(bsimm9)。该公司表示,bsimm项目为评估和改进软件安全计划提供了事实上的标准。
synopsys安全技术副总裁gary mcgraw说:“基于10年的软件研究,很明显,测试安全性意味着正确地参与到软件开发过程中,即使过程在不断发展。”。
他告诉linuxinsider,使用bsimm模型以及今年120家参与公司的研究,synopsys评估了每个行业,确定了其成熟度,并确定了哪些活动出现在高度成功的软件安全计划中。
麦格劳说:“这些年来,我们一直在分别跟踪这些供应商。”“我们看到,整个云计算已经超越了炒作周期,正在成为现实。因此,这三类供应商开始看起来都一样。他们在软件安全方面都采取了类似的方法。”
报告参数
bsimm是一项基于120家公司90多名个人收集的数据,对现实世界的软件安全计划进行的多年研究。根据synopsys的说法,这份报告是软件安全的一根标杆。
它的主要目的是为公司提供一个基础,比较和对比他们自己的计划和其他组织正在做的模型数据。参与研究的公司可以确定自己的目标和目的。这些公司可以向bsimm咨询,以确定哪些额外活动对他们有意义。
synopsys为bsimm捕获了数据。oracle为数据分析提供了资源。
synopsys的新bsimm9报告反映了安全性在软件开发中扮演的日益重要的角色。
pund-it首席分析师charles king指出,从安全角度来看,可以毫不夸张地说,由于企业的数据资产对网络犯罪分子的价值,他们的背上画着目标。
他告诉linuxinsider:“软件可以提供阻碍或防止入侵的关键防线,但是为了有效,需要在整个开发周期中实现安全性。”“bsimm9报告通过强调云计算对企业日益增长的重要性,抓住了一些亮点。”
报告结果
本报告反映了软件安全的当前状态,而不是提供操作指南。组织可以在各行各业利用it——包括金融服务、医疗保健、零售、云和物联网——将他们的安全方法与世界上最好的公司进行直接比较和对比。
该报告探讨了电子商务如何影响零售公司的软件安全计划。
king说:“金融公司主动启动软件安全计划的努力反映了不同行业和组织对安全问题的不同影响和反应。”“总的来说,新报告强调了synopsys项目的持续相关性、重要性和价值。”
新报告中的一个关键发现是云计算发挥的日益重要的作用及其对安全的影响。例如,根据mcgraw的说法,它显示了对诸如容器化和流程编排,以及为云设计的软件开发方法的重视。
以下是今年报告的主要发现:
零售,该报告的一个新类别,在零售公司开始考虑软件安全性后,在这个领域经历了难以置信的快速采用和成熟。部分原因是因为他们一直在利用bsimm加速。
根据mcgraw的说法,从某种意义上说,这份报告能够预测未来,让用户变得更像世界上最好的公司。
“底线是,我们看到bsimm表明市场正在发生转变。他说:“我们正在越过胡扯,进入正题。”
结构设计
研究人员基于三个层次的活动建立了一个bsimm框架,将115项活动分为12种不同的做法。
mcgraw指出,一级活动非常容易,很多公司都在从事这些活动。第二阶段更难,需要先完成一些第一阶段的活动。
他说:“这是不必要的,但这是我们通常看到的。”“第三级是火箭科学。只有少数公司从事第三级业务。”
研究人员已经知道在处理软件安全计划时什么是容易的,什么是困难的。他们还知道12种实践中最受欢迎的活动。
mcgraw说:“所以我们可以说,如果你正在接近代码审查,而你没有这样做的活动,你应该知道,几乎所有其他人都是。”“那么你应该问自己,‘为什么?’"
这并不意味着你必须做xyz,他补充道。这只是意味着也许你应该考虑为什么你不这样做。
了解流程
bsim 9报告还详细解释了软件安全计划中的关键角色、构成模型的活动以及收集的原始数据摘要。认识报告的目标受众至关重要。
受众是负责创建和执行软件安全计划的任何人。成功的SSI通常由向组织最高级别报告的高级主管来管理。
他们领导一个内部小组,研究人员称之为“软件安全小组”,负责直接执行或促进bsimm中描述的活动。bsimm在编写时考虑了ssg及其领导层。
mcgraw说:“我们第一次看到了垂直行业的融合,ISV、物联网供应商和云,这些行业在处理软件安全的方式上看起来有所不同。”“他们都在做软件安全方面的工作,但他们做的方式并不完全相同。”
全新的外观,全新的视角
每年,研究人员都会和同样的公司以及新参与者交谈。所有的数据每年都会更新。这提供了至少12个月的前景——但平均而言,时间跨度可能要短得多。据麦格劳说,由于研究人员使用的科学方法,没有太多的滞后指标。
他指出,bsimm的评估提供了一个比看几个案例研究更为客观的目标群体情况。这是他几年前发起这项研究时的目标之一。
麦格劳说:“bsimm的结果是希望有真正的客观数据,而不是过分强调技术或人的特定供应商或谁支付我们的钱。”
筹资途径必不可少
根据bsimm的章程,它的目的不是盈利,而是帮助synopsys实现收支平衡。麦格劳说,公司为他们参与研究和赞助活动付费。非参与者可以免费查看报告,但付费参与可以让公司得到他们自己的结果。
mcgraw解释说,这给了付费参与者一个关于他们自己的软件安全性的非常深入的观察,以及它如何与他们自己为m发布的数据进行比较。公布的报告没有提供单个公司的数据,只提供了集体数据。
根据mcgraw的说法,参与的最重要的结果是来自参与者之间形成的社区的反馈。synopsys每年举行两次会议,一次在美国,一次在欧盟。
底线
十年前,安全研究人员不知道每个人在软件安全方面都做了些什么。根据mcgraw的说法,现在公司可以使用bsimm数据来指导他们自己公司的it方法。
“我们了解到,所有公司在软件安全方面都略有不同。没有一个正确的方法,因为所有公司及其开发团队的文化都不同。”
mcgraw说,通过对所使用的所有方法的统一看法,研究人员可以概括地描述如何处理软件安全和跟踪特定的活动。
“我们没有提出一套特定的指令性指南。相反,我们提出了一系列描述性的事实,你可以利用这些事实在软件安全方面取得快速进展。”
外卖
bsimm研究人员认识到,关于软件安全的报告数据永远不会消除数据泄露和其他软件安全问题。mcgraw指出,不幸的是,没有一阶方法来衡量安全性。
“你不能把软件扔进一个亮起红灯或绿灯的盒子里。他说:“我们退而研究成功企业的做法,以此引导其他企业变得更像它们,但没有办法直接衡量这一点。”
麦格劳说:“synopsys的理论是,如果你想出人头地,你首先必须构建更好的软件。“更好的安全性来自于您构建软件的方式。”
与发现新报告:软件安全最佳实践正在改变 相关的文章: