Rapport: 90% van de organisaties heeft controlepunten voor softwarebeveiliging in de softwareontwikkelingslevenscyclus (SDLC)

Kon je Transform 2022 niet bijwonen? Bekijk nu alle Summit-sessies in onze on-demand bibliotheek! Kijk hier.

Volgens de laatste editie van de jaarlijkse Synopsys Gebouwbeveiligingsmodel in volwassenheid (BSIMM) Volgens het rapport heeft 90% van de ondervraagde lidorganisaties in hun land controlepunten voor softwarebeveiliging opgezet. Levenscyclus van softwareontwikkeling (SDLC), wat aangeeft dat dit een belangrijke stap is voor het succes van hun softwarebeveiligingsinitiatieven.

Daarnaast is er de afgelopen 12 maanden een toename van 51% in activiteiten met betrekking tot open source risicobeheersing, evenals een toename van 30% in organisaties die een software stuklijst (SBOM) bouwen en onderhouden.

Over Synopsys BSIMM

BSIMM, gelanceerd in 2008, is een tool voor het creëren, meten en evalueren van softwarebeveiligingsinitiatieven. Het maakt gebruik van een datagestuurd model dat gebruikmaakt van de grootste dataset in de branche voor cyberbeveiligingspraktijken wereldwijd. BSIMM is ontwikkeld door zorgvuldige studie en analyse van meer dan 200 softwarebeveiligingsinitiatieven.

Afbeeldingsbron: Synopsys

Het BSIMM13-rapport analyseerde softwarebeveiligingspraktijken van 130 bedrijfsorganisaties, waaronder 48 Fortune 500-bedrijven zoals Adobe, Bank of America en Lenovo, in hun gezamenlijke inspanningen om meer dan 145.000 applicaties te beveiligen die zijn gemaakt en onderhouden door bijna 410.000 ontwikkelaars.

Evenement

Metabit 2022

MetaBeat zal opinieleiders samenbrengen om advies te geven over hoe metaverse technologie de manier verandert waarop alle industrieën communiceren en zaken doen op 4 oktober in San Francisco, Californië.

Registreer hier

De bevindingen wijzen op een significante toename van activiteiten, wat aangeeft dat BSIMM-lidorganisaties een “transformatie-overal”-benadering implementeren voor geautomatiseerde en continue beveiligingstests in de SDLC en risicobeheer in hun gehele applicatieportfolio.

Trends het hele jaar door

Een manier om de verschillen tussen BSIMM12 en BSIMM13 vorig jaar te onderzoeken, is te zoeken naar trends, zoals een hogere groei in monitoringpercentages tussen gezamenlijke activiteiten. Het monitoringpercentage voor zes onderstaande activiteiten groeide bijvoorbeeld met 20% of meer in BSIMM13-waarnemingen in vergelijking met vorig jaar. Dit omvat het volgende:

  • 34% geïmplementeerd cloudbeveiliging Regelgeving.
  • 27% maakte code review verplicht voor alle projecten.
  • 25% stelt een beoordelingsproces voor normen vast.
  • 25% verzamelt en gebruikt aanvalsinformatie.
  • 24% identificeert open source.
  • 20% vereist security checkout voor compliancerisico’s.
Afbeeldingsbron: Synopsys.

gedrag

Of organisaties nu een softwarebeveiligingsinitiatief opzetten of volwassen software onderhouden, BSIMM13-gegevens geven aan dat ze de volgende belangrijke acties moeten overwegen:

Zet uw geautomatiseerde softwarebeveiligingstools op hun plaats

Of ze nu worden gebruikt voor statische of dynamische tests of voor analyse van softwareconfiguraties, deze tools kunnen helpen om defecten aan te pakken en te bepalen wat bekend is Zwakke punten in uw software, of die software nu intern is ontwikkeld, commerciële software van derden is of open source is.

Gegevens gebruiken om beveiligingsbeslissingen te nemen

Verzamel en combineer gegevens uit een bestand Hulpmiddelen voor het testen van beveiliging en deze gegevens gebruiken om softwarebeveiligingsbeleid op te stellen en af ​​te dwingen. Verzamel gegevens over uitgevoerde tests en ontdekte problemen om de beveiliging in zowel de levenscyclus van softwareontwikkeling als uw governanceprocessen te verbeteren.

Op weg naar het automatiseren van beveiligingstests en -beslissingen

Overstappen van zware handmatige methoden naar geautomatiseerde benaderingen die efficiënter, consistenter en reproduceerbaarder zijn.

Ga naar kleinere geautomatiseerde controles binnen de SDLC

Vervang indien mogelijk handmatige activiteiten zoals pentesten of handmatige codebeoordeling door kleinere, snellere, op pijplijn gebaseerde tests wanneer er een mogelijkheid is om de software te verifiëren.

Maak zo snel mogelijk een uitgebreide SBOM

De Software Bill of Materials moet een inventaris maken van uw activa, samen met open source en code van derden.

BSIMM is een open standaard met een raamwerk op basis van softwarebeveiligingspraktijken, dat een organisatie kan gebruiken om haar eigen inspanningen op het gebied van softwarebeveiliging te evalueren en te ontwikkelen.

BSIMM-methodologie

BSIMM-gegevens komen voort uit interviews die zijn afgenomen met lidfirma’s tijdens de BSIMM-beoordeling. Na elke beoordeling worden de monitoringgegevens geanonimiseerd en toegevoegd aan de BSIMM-datapool, waar statistische analyses worden uitgevoerd om trends te markeren in de manier waarop BSIMM-bedrijven hun software beveiligen.

Lees de volledig rapport van Synopsys.

VentureBeat-missie Het moet de digitale stadsarena worden voor technische besluitvormers om kennis op te doen over transformationele bedrijfstechnologie en transacties. Ontdek onze briefings.