软件部署安全先行,新思科技发布软件安全构建成熟度模型BSIMM10
【51CTO.com原创稿件】2019年10月23日,新思科技(Synopsys)发布最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM10,该模型旨在帮助企业规划、执行、完善和评估其软件安全计划(SSIs)。在媒体沟通会现场,新思科技软件质量与安全部门高级安全架构师杨国梁接受了记者的采访,分享了BSIMM10研发和应用过程中的诸多故事。
“任何软件安全计划要想真正发挥作用,都必须确定需要关注的适当活动以及应当由谁负责执行这些活动,这是软件安全计划的重要环节。新思科技软件安全构建成熟度模型(BSIMM)是对现实世界中软件安全计划开展多年研究的结果,是衡量软件是否安全的标尺。”杨国梁介绍道,在过去的十年里,新思科技采用BSIMM对185家公司进行了约450次评估,第十个版本反映出观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。
据他透露,BSIMM10描述了7,900名软件安全专家的工作成果,这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业,包括金融服务、高科技、独立软件供应商(ISVs)、云、医疗保健、物联网、保险及零售业。
“在中国,BSIMM10将会提供通用版的服务,不仅通过观察122家企业的软件安全活动,得出所有企业的平均蛛网图,从而帮助企业规划、执行、完善和评估其软件安全计划。同时由于每个行业特色不同,BSIMM10对以上垂直行业也进行了一些分析。在不同行业的版本中,所得到蜘蛛图可用于比较来自特定垂直行业的一组公司,行业不同,得分不同,蛛网图也不同。。例如金融行业,由于政策监管非常严格,所以在合规性这个标准方面起点就会比较高,那在这个方面可能金融行业得分就相对高一些。” 杨国梁表示,对于之前已经使用BSIMM前版本的用户,如果客户有需求,新思科技也会提供更为详尽的服务,帮助用户加速数字化转型的步伐。
记者了解到,BSIMM10报告中有三点发现更值得关注:
一是DevOps对软件安全的影响。BSIMM数据显示DevOps的发展以及持续集成和持续交付(CI/CD)工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出,新的活动反映了公司如何积极致力使安全活动自动化,来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例,以反映这些活动如何作为现代DevOps组织实施的一部分。
二是工程导向的安全文化的新浪潮。BSIMM10正式反映了SSI文化发生变化的研究,工程主导的软件安全工作是由开发和运营团队自下而上驱动的,而不像在集中式软件安全小组自上而下。在一些组织中,工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现,是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。
三是建议公司采用BSIMM来为其软件安全旅程导航。BSIMM10定义了SSI成熟度三个阶段(兴起、发展和优化)的版本,并且描述了不同公司通常如何通过它们发展。BSIMM数据显示,随着时间的推移,企业得到了明显改进,许多企业均已达到了一定的成熟度,以至于他们开始关注活动的深度、广度和规模,而不是总想着增加活动数量。
众所周知,领导一个有效的软件安全计划是富有挑战性的,而DevOps和CI/CD带来的巨大技术和组织变革并没有使这项任务变得更加容易。作为不断发展以反映全球数百个软件安全小组的经验的工具,无论企业是刚刚开始软件安全旅程,寻求优化程序或者应对新的挑战,BSIMM以及社区都是宝贵的资源。
如果您对此内容感兴趣,欢迎复制以下链接,下载BSIMM10报告:
www.bsimm.com/zh-cn/download.html
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
我国密码法表决通过,自2020年1月1日起施行
【51CTO.com原创稿件】10月26日,十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》,将于2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。法案围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了共计五章,四十四条内容。 为什么要立法? 也许有人会问,小小的密码为何需要制定专门的法律?有专家表示,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。 分析立法的原因,可以归结为以下三点: 一是,核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确,进一步提升法治化保障水平。 二是,近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。 三是,传统对商用密码实行全环节许...
- 下一篇
QQ for Linux 复活,微信 for Linux 还会远吗?
10 月 24 日晚间,腾讯突然发布了沉寂多年的 QQ for Linux 新版本,引起了一阵欢呼。有网友分析腾讯赶在 1024 这个程序员的节日里重新发版,单纯是娱乐性质,凑凑节日热闹,并且新版本做得也确实不怎么样,对于它后续的跟进研发不必抱有太大希望。 而另一部分网友的观点则比较脑洞大开,他们认为腾讯 QQ 这个动作背后的原因可以联系到美国对华为的技术封锁战。 很简单,美国从针对华为入手,开始对中国封锁一些基础技术,比如芯片与操作系统。之所以提芯片与操作系统,是因为目前 ARM 与 Android 都已经明确不给华为用了,而实际上这背后会牵动整个“软件生态链”,也就是包括数据库、编译器、编程语言与应用软件等,另一方面还映射到整个开源生态。 这种情况下国内在芯片、操作系统、数据库、编译器与相关的应用等方面都在加紧发力,所以近期可以看到在这些领域各种自主研发技术突破(或者跟进)的新闻,比如: 鸿蒙操作系统的公开。 方舟编译器的开源。 OceanBase 在“数据库领域世界杯”的 TPC-C 基准测试中,打破美国保持了 9 年的世界纪录,让国产数据库首次跃居榜首。(先不管业内对于这背后实...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果