新思科技 (Synopsys, Inc.，Nasdaq: SNPS)宣布發(fā)布其最新版本的軟件安全構建成熟度模型(BSIMM)--BSIMM12。該模型旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM12反映了觀察到的128家公司的軟件安全實踐，覆蓋多個垂直行業(yè)，包括金融服務、金融科技、獨立軟件供應商(ISV)、云、醫(yī)療保健、物聯網等。BSIMM12描述了近3,000名軟件安全團隊成員和6,000多名外圍小組成員的工作成果。BSIMM是全球企業(yè)衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數據進行比較。

　　現代軟件中開源組件盛行，而且利用開源漏洞進行的攻擊頻發(fā)。BSIMM12數據表明過去兩年軟件安全企業(yè)對開源的識別和管理活動增加了 61%。

　　與云平臺和容器技術相關的活動的增長表明，這些技術對企業(yè)如何使用和保護軟件產生了巨大影響。 例如，在過去兩年中，“對容器和虛擬化環(huán)境使用編排功能”的觀察增加了 560%。

　　請下載BSIMM12報告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　美國海軍聯邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員，其首席信息安全官 Mick Ware表示：“過去18個月里，企業(yè)都經歷了數字化轉型大幅加速。越來越多的企業(yè)采用軟件定義方式來部署和管理軟件環(huán)境以及云技術堆棧。鑒于這些變化的復雜性和速度之快，對于安全團隊來說，擁有工具讓他們了解安全計劃的狀態(tài)，并為下一步的發(fā)展方向提供參考至關重要。BSIMM 是用于實現此目的的管理工具。BSIMM提供獨特的視角，可以了解企業(yè)如何改變實施軟件定義的安全功能（如策略即代碼）的策略，以與現代軟件開發(fā)原則和實踐保持一致。”

　　Genetec Inc.也是BSIMM社區(qū)的一員，其首席安全架構師Mathieu Chevalier表示：“BSIMM 研究方便企業(yè)有一個基準用來評估當前的安全實踐，確定優(yōu)先事項及保持前瞻性，以應對安全領域的新興趨勢。BSIMM 的描述性模型可幫助企業(yè)確定如何開始構建軟件安全計劃并使其行之有效。BSIMM12對責任共擔模型的觀察尤其應鼓勵安全領導者考慮他們如何發(fā)展，以應對和縮小其安全戰(zhàn)略中的任何潛在差距。”

　　蘭吉爾(Landis+Gyr)首席信息安全官Todd Wiedman表示：“BSIMM報告與行業(yè)最佳實踐步調一致。憑借BSIMM，我們可以了解不同開發(fā)團隊觀察到的各種開發(fā)安全活動的成熟度。隨著軟件開發(fā)實踐的加速，BSIMM12 數據解釋了安全開發(fā)計劃中發(fā)生的實際變化。 有了這些信息，企業(yè)可以調整自己的策略來保護自身和客戶，同時保持創(chuàng)新。” Landis+Gyr是 BSIMM社區(qū)成員企業(yè)。

　　Finastra 產品和數據安全計劃總監(jiān) Vinod Raghavan表示： “我們一直在使用 BSIMM 框架來提升安全戰(zhàn)略，這是產品和數據安全計劃的一部分。它有助于我們與金融服務及跨行業(yè)的其它企業(yè)進行基準比較，以提高安全成熟度。” Finastra是 BSIMM社區(qū)成員企業(yè)。

　　從維護傳統的運營庫存轉向自動化資產發(fā)現和創(chuàng)建物料清單需要添加“無處不移”活動，例如使用容器來強制實施安全控制、編排和掃描基礎設施即代碼。 BSIMM 觀察到更多活動，諸如“通過運維物料清單來增強應用程序庫存盤點”、“對容器和虛擬化環(huán)境使用編排功能”以及“監(jiān)控自動化資產創(chuàng)建”等活動，都證明了上述趨勢。

　　新思科技軟件質量與安全部門總經理Jason Schmitt表示：“自 2008 年以來，BSIMM 咨詢、研究和數據專家一直在收集有關企業(yè)為應對軟件安全挑戰(zhàn)所采取的不同途徑的信息。參與BSIMM評估的企業(yè)軟件安全計劃的平均年限為4.4年，反映了企業(yè)如何調整以應對現代開發(fā)和部署實踐新趨勢。有了這些信息，企業(yè)就可以調整策略來保護他們的企業(yè)和客戶，并持續(xù)創(chuàng)新。”

　　了解更多，請下載BSIMM12報告 https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral。

　　新思科技首席科學家Sammy Migues，新思科技管理負責人Eli Erlikhman,新思科技首席安全顧問Jacob Ewers，Gemini 應用安全總監(jiān)Kevin Nassery，分析了過去近13年軟件安全研究收集的數據，并共同編寫B(tài)SIMM12報告。部分參與評估的公司包括：AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell,  Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.