投稿邮箱

digitcw@163.com

您的位置:首页 > 行业动态 >
新思科技BSIMM13报告发现加强软件供应链安全实践显著增加
作者:赵法彬   添加时间:2022-11-09
软件安全构建成熟度模型第13版显示,保护开源组件并将安全性集成到开发人员工具链中的活动激增了近50,。

说到软件安全,没有人是孤岛。无论是个人还是企业,都无法做到完全自给自足,每个人都会需要依靠其他人获得帮助。在软件安全领域,了解同行的软件安全计划至关重要 — 哪些是有效的,哪些是失败的(也许这是最重要的,可以引以为戒并加以防范),哪些东西正在发生变化,以及如何应对这些变化。

QQ截图20221109170457.jpg

新思科技(Synopsys, Nasdaq: SNPS)发布其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adobe、PayPal 和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。


报告强调了越来越多的 BSIMM 成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期 (SDLC) 中执行自动、持续的安全测试,并管理其完整应用组合的风险。

QQ截图20221109170509.jpg


新思科技软件质量与安全部门总经理Jason Schmitt表示:“BSIMM13的调研发现,随着软件供应链的关注度提升,大多数企业都在采用基于风险预防的措施以确保应用安全。他们意识到安全不局限于代码库。安全涵盖软件开发过程、安全审查和测试‘无处不移’,以持续提升安全性。报告还表明,BSIMM成员企业的软件安全计划正趋向成熟。他们现在正在寻找解决方案,以推动其计划的可扩展性、效率和整体有效性。”


BSIMM13 由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:


· 管理软件供应链风险及SBOM(软件物料清单)兴起。可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13 报告显示,在过去 12 个月中,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。


· 将安全集成到开发人员工具链中。在过去 12 个月中,BSIMM成员企业在将安全集成到CI/CD管道和开发人员工具链方面取得了重要的进展,这是实施安全“无处不移”的策略的一部分。BSIMM13 数据指出,使企业能够将安全测试纳入QA(质量保证) 自动化的活动增加了 48%。


· 将软件安全扩展到产品和应用之外。BSIMM13 数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如为 CI/CD 创建的自动化)。过去 12 个月,利用运营数据进行持续改进的活动增长了 95%。


· 通过自动化和持续测试实现安全“无处不移”。BSIMM13 数据报告称,82% 的 BSIMM 成员企业现在使用自动代码审查工具(在 BSIMM13 中排名前 10 最受关注的活动)。这增强了他们执行更快、增量安全测试和识别漏洞的能力,因为这些工具贯穿在SDLC中。


新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM 数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到 BSIMM 数据池中,且在其中执行统计分析,以突出 BSIMM 成员企业如何保护其软件的趋势。


除了发布其年度报告外,BSIMM 还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。


联想基础设施解决方案事业部产品安全部执行董事Bill Jaeger表示:“在 2015 年加入 BSIMM 社区后,我们发现每年更新的报告洞察可以帮助联想规划和衡量安全计划。这对我们了解客户最重要的实践领域也具有重要价值。此外,BSIMM 社区本身就是一个极好的资源,成员们慷慨地分享经验。他山之石,可以攻玉。我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”