软件安全最佳实践正在改变 发现新的报告

商业2020-07-29 10:07:50
导读独立的软件供应商以及物联网和云供应商参与了一个市场转型,使他们看起来更相似。根据Syno

独立的软件供应商以及物联网和云供应商参与了一个市场转型,使他们看起来更相似。根据Synopsys的报告,它们接近软件安全倡议的方式是显而易见的。

周二,Synopsys发布了其第九次年度建筑安全模型,或BIMM9。该公司表示,BIMM项目为评估和改进软件安全举措提供了事实上的标准。

Synopsys的安全技术副总裁GaryMcGraw表示,基于进行软件研究的10年,很明显,测试安全性正确意味着参与软件开发过程,甚至随着过程的发展。

在今年的120家参与公司的研究中,Synopsys对每个行业进行了评估,确定了其成熟度,并确定了在高度成功的软件安全计划中存在哪些活动,他告诉LinuXinsider。

"我们多年来一直在跟踪这些供应商中的每一个,"McGraw说."我们看到,整个云事物已经超越了宣传周期,正变得真实。因此,这三个类别的供应商都开始看起来相同。它们都采用类似于软件安全性的方法。"

BIMM是基于由120家公司90多个个人收集的数据的实时软件安全倡议的多年研究。根据Synopsys,该报告是一种用于软件安全性的测量棒。

其主要目的是为公司提供基础,以将自己的计划与模型的数据进行比较和对比,以了解其他组织正在做的工作。然后参与研究的公司可以确定自己的目标和目标。公司可以参考BSIMM来确定哪些其他活动对他们有意义。

Synopsys捕获了BSIMM的数据。Oracle提供了用于数据分析的资源。

Synopsys的“新BIMM9报告”反映了安全在软件开发中发挥的越来越重要的作用。

没有夸张地说,从安全的角度来看,由于他们的数据资产代表了网络罪犯的价值,企业在其背部绘制了目标。Pund-IT的主要分析师CharlesKing指出。

"软件可以提供关键防线以阻止或阻止入侵,但是要有效,安全需要在开发周期中实现,"他告诉Linuxinsider."BIMM9报告通过强调云计算对企业日益重要的重要性,提出了一些要点。"

本报告反映了当前软件安全性状态,而不是提供指南指南。各组织可以通过各种行业----包括金融服务、医疗保健、零售、云和物联网----直接比较和对比他们对世界上一些最佳公司的安全方法。

报告探讨了电子商务如何影响零售企业的软件安全倡议。

"金融公司为主动启动软件安全倡议所作的努力反映了安全问题对不同行业和组织的影响,并对其作出了不同的回应,"说,"总之,新报告强调Synopsys项目的持续相关性、重要性和价值。"........

新报告中的一个关键发现是云计算及其对安全性的影响越来越大。例如,它更强调像集装箱化和协调一样的事物,以及根据McGraw开发专为云设计的软件的方式。

以下是今年的报告中的主要结论:

零售是该报告的新类别,在零售企业开始考虑软件安全的情况下,在空间中经历了难以置信的快速通过和成熟。部分原因是,这是因为它们已经利用了BSIMM来加速更快。

根据McGraw的数据,在某种意义上,报告能够预测未来,让用户更喜欢世界上最好的公司。

"底线是我们看到BSIMM正在显示实际发生的市场转变。我们正从巴鲁尼进入黄铜棚屋,"说。

研究人员根据三项活动建立了一个BIMM框架,其中115个活动分为12个不同的实践。

McGraw指出,一级活动是相当容易的,很多公司都承担着这些活动。二级更困难,首先需要做一些级别的活动。

"这不是必要的,但这就是我们通常所看到的,"说."三级是火箭科学。只有几家公司做了三级工作。"

研究人员已经了解了在处理软件安全倡议时很容易和什么是很困难的。他们也知道12个实践中最受欢迎的活动。

"所以我们可以说如果你正在接近代码评审并且你不在做这个活动,你应该知道其他的人都是,"说McGraw."你应该问问自己,“为什么?”"

他补充说,这并不意味着你必须做XYZ。这就意味着你应该考虑为什么你不这么做。

BIMM9报告还详细说明了软件安全计划中的关键角色、现在包含模型的活动以及收集的原始数据的摘要。必须承认报告的目标受众。

观众是负责创建和执行软件安全倡议的任何人。成功的SSIS通常由高级管理人员运行,该高级管理人员向组织中的最高级别报告。

他们领导一个内部团队,研究人员呼叫"软件安全组,"或SSG,负责直接执行或促进BSIMM中描述的活动。BSIMM是用SSG和它的领导思想编写的。

"我们第一次看到垂直行业--ISV、IoT供应商和云的融合----它们用来以与软件安全性接近的方式看起来不同,"说McGraw."他们都在做软件保安,但他们并不完全相同。"

每年的研究人员都会和同样的公司以及新的参与者交谈。每年刷新所有数据。这提供了至少12个月的透视,但可能平均来说,时间跨度要短得多。根据McGraw的说法,研究人员使用的科学方法没有太多的滞后指标。

他指出,BIMM审查提供了更客观的观点,即目标人群中发生的事情,而不是看一些案例研究。这是几年前他发起的研究目标之一。

"BIMM是希望有真正的客观数据而不会过分强调技术或特定供应商的人或支付我们钱的人的结果,"说。

根据《BSIMM宪章》,它的设计不是为了赚钱,而是为了帮助Synopsys的收支平衡。McGraw表示,公司为他们参与研究和赞助的活动付费。非参与者可以免费查看报告,但付费参与会让公司获得自己的结果。

McGraw解释说,这使支付的参与者对他们自己的软件安全性以及与他们自己发布的自己的数据进行比较的方式非常强烈。发表的报告没有提供个别公司的数据,只是集体数据。

据McGraw称,参与的最重要成果是参与者之间的反馈。Synopsys在美国和欧盟举行了两次年度会议。

十年前,安全研究人员不知道每个人都在为软件安全做什么。根据McGraw的数据,现在公司可以使用bsimpm数据来指导自己的公司对IT的方法。

"我们了解到,所有公司的软件安全性略有不同。没有一种正确的方法,因为所有公司及其DEV团队的文化不同,"说。

McGraw表示,对于所使用的所有方法的统一视图,研究人员可以概括介绍如何处理软件安全性和跟踪特定的活动。

"我们没有提出一套具体的规定性指导。相反,我们提出了一套描述性的事实,您可以利用这些事实在软件安全性方面取得巨大的进步,"注意到了。

BIMM研究人员认识到,关于软件安全性的报告数据永远不会消除数据泄露和其他软件安全问题。遗憾的是,没有一种衡量安全的一阶方式,注意到McGraw。

"您不能将软件扔在照亮红色或绿色的框中。我们后退了一下,看看那些成功的公司正在做什么来引导其他公司更喜欢他们,"说,"但没有办法直接测量。"

Synopsys的理论是,如果你想出去,首先必须建立更好的软件,McGraw."更好的安全性与构建软件的方式有关。"

杰克·M·杰尔曼自2003年以来一直是ECT新闻网的记者。他主要关注的领域是企业IT、Linux和开源技术。他曾多次评论Linux发行版和其他开源软件。电子邮件杰克。

免责声明:本文由用户上传,如有侵权请联系删除!