新思科技 (Synopsys, Inc.，Nasdaq: SNPS)宣布發(fā)布其最新版本的軟件安全構建成熟度模型(BSIMM)--BSIMM12。該模型旨在幫助企業(yè)規劃、執行、評估和完善其軟件安全計劃(SSI)。BSIMM12反映了觀(guān)察到的128家公司的軟件安全實(shí)踐，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨立軟件供應商(ISV)、云、醫療保健、物聯(lián)網(wǎng)等。BSIMM12描述了近3,000名軟件安全團隊成員和6,000多名外圍小組成員的工作成果。BSIMM是全球企業(yè)衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區的數據進(jìn)行比較。

　　現代軟件中開(kāi)源組件盛行，而且利用開(kāi)源漏洞進(jìn)行的攻擊頻發(fā)。BSIMM12數據表明過(guò)去兩年軟件安全企業(yè)對開(kāi)源的識別和管理活動(dòng)增加了 61%。

　　與云平臺和容器技術(shù)相關(guān)的活動(dòng)的增長(cháng)表明，這些技術(shù)對企業(yè)如何使用和保護軟件產(chǎn)生了巨大影響。 例如，在過(guò)去兩年中，“對容器和虛擬化環(huán)境使用編排功能”的觀(guān)察增加了 560%。

　　請下載BSIMM12報告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區的一員，其首席信息安全官 Mick Ware表示：“過(guò)去18個(gè)月里，企業(yè)都經(jīng)歷了數字化轉型大幅加速。越來(lái)越多的企業(yè)采用軟件定義方式來(lái)部署和管理軟件環(huán)境以及云技術(shù)堆棧。鑒于這些變化的復雜性和速度之快，對于安全團隊來(lái)說(shuō)，擁有工具讓他們了解安全計劃的狀態(tài)，并為下一步的發(fā)展方向提供參考至關(guān)重要。BSIMM 是用于實(shí)現此目的的管理工具。BSIMM提供獨特的視角，可以了解企業(yè)如何改變實(shí)施軟件定義的安全功能（如策略即代碼）的策略，以與現代軟件開(kāi)發(fā)原則和實(shí)踐保持一致。”

　　Genetec Inc.也是BSIMM社區的一員，其首席安全架構師Mathieu Chevalier表示：“BSIMM 研究方便企業(yè)有一個(gè)基準用來(lái)評估當前的安全實(shí)踐，確定優(yōu)先事項及保持前瞻性，以應對安全領(lǐng)域的新興趨勢。BSIMM 的描述性模型可幫助企業(yè)確定如何開(kāi)始構建軟件安全計劃并使其行之有效。BSIMM12對責任共擔模型的觀(guān)察尤其應鼓勵安全領(lǐng)導者考慮他們如何發(fā)展，以應對和縮小其安全戰略中的任何潛在差距。”

　　蘭吉爾(Landis+Gyr)首席信息安全官Todd Wiedman表示：“BSIMM報告與行業(yè)最佳實(shí)踐步調一致。憑借BSIMM，我們可以了解不同開(kāi)發(fā)團隊觀(guān)察到的各種開(kāi)發(fā)安全活動(dòng)的成熟度。隨著(zhù)軟件開(kāi)發(fā)實(shí)踐的加速，BSIMM12 數據解釋了安全開(kāi)發(fā)計劃中發(fā)生的實(shí)際變化。 有了這些信息，企業(yè)可以調整自己的策略來(lái)保護自身和客戶(hù)，同時(shí)保持創(chuàng )新。” Landis+Gyr是 BSIMM社區成員企業(yè)。

　　Finastra 產(chǎn)品和數據安全計劃總監 Vinod Raghavan表示： “我們一直在使用 BSIMM 框架來(lái)提升安全戰略，這是產(chǎn)品和數據安全計劃的一部分。它有助于我們與金融服務(wù)及跨行業(yè)的其它企業(yè)進(jìn)行基準比較，以提高安全成熟度。” Finastra是 BSIMM社區成員企業(yè)。

　　從維護傳統的運營(yíng)庫存轉向自動(dòng)化資產(chǎn)發(fā)現和創(chuàng )建物料清單需要添加“無(wú)處不移”活動(dòng)，例如使用容器來(lái)強制實(shí)施安全控制、編排和掃描基礎設施即代碼。 BSIMM 觀(guān)察到更多活動(dòng)，諸如“通過(guò)運維物料清單來(lái)增強應用程序庫存盤(pán)點(diǎn)”、“對容器和虛擬化環(huán)境使用編排功能”以及“監控自動(dòng)化資產(chǎn)創(chuàng )建”等活動(dòng)，都證明了上述趨勢。

　　新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示：“自 2008 年以來(lái)，BSIMM 咨詢(xún)、研究和數據專(zhuān)家一直在收集有關(guān)企業(yè)為應對軟件安全挑戰所采取的不同途徑的信息。參與BSIMM評估的企業(yè)軟件安全計劃的平均年限為4.4年，反映了企業(yè)如何調整以應對現代開(kāi)發(fā)和部署實(shí)踐新趨勢。有了這些信息，企業(yè)就可以調整策略來(lái)保護他們的企業(yè)和客戶(hù)，并持續創(chuàng )新。”

　　了解更多，請下載BSIMM12報告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　新思科技首席科學(xué)家Sammy Migues，新思科技管理負責人Eli Erlikhman,新思科技首席安全顧問(wèn)Jacob Ewers，Gemini 應用安全總監Kevin Nassery，分析了過(guò)去近13年軟件安全研究收集的數據，并共同編寫(xiě)BSIMM12報告。部分參與評估的公司包括：AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell,  Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.