BSIMM8模型首次在亚太区发布 重申在软件安全计划初期设立对比基准的关键性

释放双眼,带上耳机,听听看~!
美国新思科技公司(Synopsys,Nasdaq: SNPS)发布其业界领先的最新版本的软件安全构建成熟度模型——BSIMM8。该模型是基于真实数据,旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM8是软件安全构建成熟度模型(BSIMM)的第八个版本,首次于亚太区

美国新思科技公司 (Synopsys, NasdaqSNPS)发布其业界领先的最新版本的软件安全构建成熟度模型 —— BSIMM8。该模型是基于真实数据,旨在帮助企业规划、执行并评估其软件安全计划(SSIs)BSIMM8是软件安全构建成熟度模型(BSIMM)的第八个版本,首次于亚太区发布,是迄今为止发布最详细的BSIMM数据。BSIMM8显示随着越来越多企业在SSI生命周期初期就已经设立基准,软件安全已经成为他们一项关键的考量。企业运用评估结果从战略上管理风险, 随着时间推移,其SSI将出现显著改进。请点击链接下载BSIMM8报告:https://www.bsimm.com/zh-cn/download.html

https://www.synopsys.com/content/dam/bsimm/china/BSIMM8-CN.pdfhttps://www.synopsys.com/content/dam/bsimm/china/BSIMM8-CN.pdfhttps://www.synopsys.com/content/dam/bsimm/china/BSIMM8-CN.pdf

安全技术部副总裁Gary McGraw博士表示:针对易受攻击软件的破坏性攻击分布广并且数量日益增长。我们发现从被动的渗透和补丁方式转向更多的主动战略,可以帮助企业从一开始就可以系统地构建安全软件。企业开始明白,他们可以通过构建SSI来有效地降低风险,并通过诸如BSIMM等工具来评估其优势和不足,将精力放在最恰当的实践模块和活动上。

BSIMM8收集了来自109家公司的数据,并且描述了4,769名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对近30万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约9.5万应用程序的开发工作。参与BSIMM8调研的公司来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网和保险。

 

BSIMM8 研究的主要发现包括:

·       企业运用BSIMM来助推SSIBSIMM8增加了实施SSI相对较晚的公司,平均总体成熟度有所下滑1 ,从BSIMM7中的33.9%降至33.1% ,企业软件安全小组 (SSG)建立的平均时长从3.94年降至3.88年。设立SSI基准是软件安全行为的首要步骤之一。

·       BSIMM公司SSI逐渐走向成熟。参加多次BSIMM评估的公司的成熟度有明显的上升趋势,平均活动数量增加了10.3,达到33.4%。设立基准是指导企业持续构建安全软件最有效的实践。

 

·       成熟度因行业而异。每个行业都有不同于其它行业的关注重点和举措,每个行业和独立组织构建软件安全的方式也有差异。总的来说,云端、金融服务、独立软件供应商的成熟度要高于医疗卫生、物联网和保险行业。金融服务和云行业在合规与政策实践模块得分较高,物联网行业在软件环境实践中成熟度最高。

BSIMM Infographic.jpg

根据权威调研机构Gartner调研显示,应用程序安全需要一个有结构的、程序化的方法来处理看似复杂的新技术和不断变化的威胁环境。可靠的应用安全方案必须是人、流程和技术三者的平衡结合2

 

BSIMM对已经建立真正SSI的企业进行观察,描述了113项可付诸实践的活动,通过量化多家不同企业的做法,能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面,开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较,由此决定哪些活动是可能有用的。

1.     BSIMM 分数反映了在评估一家公司的SSI时所观察到的全部软件安全活动。每项活动得一分,BSIMM框架一共包括113项活动。

2.     来源:Gartner, “A Guidance Framework for Establishing and Maturing an Application Security Program”,发表于 20161223日,作者为Michael Isbitski Ramon

 

BSIMM简介

软件安全构建成熟度模型(BSIMM)是一个测量和评估软件安全计划(SSI)的工具,第一版BSIMM2008年构建。 BSIMM收集超过100家企业的真实数据,基于这些数据对SSI进行精细研究和分析。BSIMM是一个开放的标准,包括一个基于软件安全实践模块的框架,企业可以据此来评估其软件安全。

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

360安全战队龚广再拿一血 移动Pwn2Own首个攻破三星Galaxy S8

2017-11-1 11:49:03

HackerNews

Pwn2Own最强军团百发百中 360安全战队实现100%成功攻破

2017-11-2 5:54:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索