新闻

新思科技发布最新版的软件安全构建成熟度模型 BSIMM
报告剖析了 120 家企业在过去 10 年的软件安全计划突出了云转型的影响和软件安全社区的发展。

美国加利福尼亚州山景城,2018 年 10 月 26 日 --

新思科技公司 (Synopsys, Nasdaq: SNPS) 发布其最新版本的软件安全构建成熟度模型——BSIMM9。该模型旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM9 是软件安全构建成熟度模型 (BSIMM) 的第九个版本,收集了 120 家企业过去 10 年的真实数据。BSIMM9 强调了云转型的影响和软件安全社区的发展,并且在数据库中纳入了新的垂直行业 - 零售业。请点击链接下载 BSIMM9 报告:https://www.bsimm.com/zh-cn/download.html

甲骨文公司旗下云 ERP 系统 NetSuite 基础设施和安全高级副总裁 Brian Chess 博士表示:“开发、安全和运营团队需要步调一致,BSIMM9 提供的数据表明这是通过自动化进行的,特别是当软件迁移到云端时。这是朝着正确方向迈出的巨大一步:同时提高速度和安全性。”

BSIMM9 描述了 7,800 多名软件安全专家的工作成果,展现了软件安全最佳实践模块背后的科学性。这些成果对 41.5 万名开发人员有指导作用,帮助他们最大化地保障产品的安全性。这些开发人员参与约 13.5 万应用程序的开发工作。参与 BSIMM9 调研的企业来自有代表性的垂直行业,包括金融服务、独立软件供应商(ISVs)、云、医疗卫生、物联网、保险及零售业。

 

BSIMM9 报告的主要发现包括:

  • 云转型:企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到 BSIMM 报告。此外,在独立软件供应商、物联网公司和云计算公司(三个最突出的垂直行业)观察到的多种活动已开始融合,这表明通用云架构需要类似的软件安全方法。
  • BSIMM 应用在不同垂直行业:BSIMM 可用来比较同一行业以及不同垂直行业之间的软件安全计划。 BSIMM9 数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起,保持软件安全对促进零售业健康发展至关重要,因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

  • 评估群体规模扩大:BSIMM8 收集的数据来自 109 家公司,BSIMM9 增加到 120 家。它所涵盖的开发人员数量增长了 43%,其评估的软件安全从业人员数量增长了 65%。BSIMM 规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。
     

新思科技安全技术部副总裁 Gary McGraw 博士表示:“BSIMM 提供真实的数据参照,已经成为评估和改进软件安全计划的可靠标准。凭借 BSIMM,用户可以将自己的软件安全计划与世界上其它一些成熟的公司作对比。BSIMM9 凝聚了新思科技 10 年来在软件安全领域观察工作的结晶,汇集了该领域最大规模的客观数据。

BSIMM 对已经建立真正软件安全计划的企业进行观察,描述了 116 项可付诸实践的活动,通过量化不同企业的做法,能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM 数据显示成熟度高的安全计划很全面,开展了所有 12 个实践模块中的多项活动。企业可以凭借 BSIMM 对软件安全计划进行比较,由此决定哪些活动是可能有用的,可以支持其整体策略实施。

 

致谢

Gary McGraw 博士和新思科技首席科学家 Sammy Migues,以及甲骨文公司旗下 NetSuite 云计算运营副总裁 Jacob West,分析了过去 10 年软件安全研究收集的数据。部分参与评估的公司包括:Adobe, The Advisory Board Company, Aetna, Alibaba Group, Amgen, Anda, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dahua, Depository Trust & Clearing Corporation, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, Highmark Health, The Home Depot, Horizon Healthcare Services, HSBC, Independent Health, iPipeline, Johnson & Johnson, JPMorgan Chase, Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, Nvidia, NXP Semiconductors, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Sony Mobile, Splunk, Synopsys, Target, TD Ameritrade, Trainline, Trane, U.S. Bank, The Vanguard Group, Veritas, Verizon, Wells Fargo, Zendesk 以及 Zephyr Health.

 

BSIMM简介

软件安全构建成熟度模型(BSIMM)是一个测量和评估软件安全计划 (SSI) 的工具,第一版 BSIMM 于 2008 年构建。 BSIMM 收集超过 100 家企业的真实数据,并基于这些数据对 SSI 进行精细研究和分析。BSIMM 是一个开放的标准,包括一个基于软件安全实践模块的框架,企业可以据此来评估其软件安全。下载更多信息,请访问:https://www.bsimm.com/zh-cn/download.html

 

新思科技软件质量与安全平台

新思科技 (Synopsys) 帮助研发人员构建安全、高质量的软件,降低风险的同时提升速度及生产力。新思科技是应用安全领域公认的佼佼者,提供静态分析、软件组件分析、动态分析解决方案,帮助研发团队更快地找到专有代码、开源组件及应用程序行为中的漏洞和缺陷,并修复它们。通过结合行业领先的工具、服务和专业知识,新思科技可以帮助企业优化 DevSecOps 和整个软件开发生命周期中的安全和质量。

更多信息,请访问:https://www.synopsys.com/zh-cn/software-integrity.html

 

美国新思科技简介

新思科技(Synopsys, Inc.,纳斯达克股票市场代码: SNPS)致力于创新改变世界,在芯片(Silicon)到软件(Software)的众多领域, 新思科技始终引领和参与全球各个科技公司的紧密合作,共同开发人们所依赖的电子产品和软件应用。作为世界第 15 大软件公司,新思科技是全球排名第一的电子设计自动化(EDA)供应商和全球排名第一的半导体接口 IP 供应商,同时也是软件质量和安全解决方案的全球领导者。无论您是制造先进半导体的系统芯片 (SoC) 设计者,或是编写最高质量和安全性应用的开发者,新思科技均可提供您所需的解决方案,交付创新、高质量、安全的产品。

更多信息,请访问:https://www.synopsys.com/zh-cn.html