Bericht: 90 % der Unternehmen haben Software-Sicherheitskontrollpunkte im Software Development Lifecycle (SDLC)

Konnten Sie an der Transform 2022 nicht teilnehmen? Sehen Sie sich jetzt alle Summit-Sitzungen in unserer On-Demand-Bibliothek an! Schau hier.


Laut der neuesten Ausgabe des Synopsys Building Security Maturity Model (BSIMM) Annual Report haben 90 % der befragten Mitgliedsorganisationen Software-Sicherheitskontrollpunkte im Software Development Lifecycle (SDLC) eingerichtet, was darauf hinweist, dass dies ein wichtiger Schritt für den Erfolg ihres Unternehmens ist Sicherheitsinitiativen ihre Software.

Darüber hinaus gab es in den letzten 12 Monaten einen 51-prozentigen Anstieg der Aktivitäten im Zusammenhang mit der Open-Source-Risikokontrolle sowie einen 30-prozentigen Anstieg der Organisationen, die eine Software-Stückliste (SBOM) erstellen und pflegen.

Über Synopsys BSIMM

BSIMM wurde 2008 eingeführt und ist ein Tool zum Erstellen, Messen und Bewerten von Software-Sicherheitsinitiativen. Es verwendet ein datengesteuertes Modell, das den branchenweit größten Datensatz für Cybersicherheitspraktiken weltweit nutzt. BSIMM wurde durch sorgfältiges Studium und Analyse von mehr als 200 Software-Sicherheitsinitiativen entwickelt.

Bildquelle: Synopsys

Der BSIMM13-Bericht analysierte Software-Sicherheitspraktiken von 130 Unternehmen – darunter 48 Fortune-500-Unternehmen wie Adobe, Bank of America und Lenovo – in ihren kumulierten Bemühungen, mehr als 145.000 Anwendungen zu sichern, die von fast 410.000 Entwicklern erstellt und gewartet werden.

Vorfall

Metabit 2022

MetaBeat wird am 4. Oktober in San Francisco, Kalifornien, Vordenker zusammenbringen, um eine Anleitung zu geben, wie die Metaverse-Technologie die Art und Weise verändert, wie alle Branchen kommunizieren und Geschäfte machen.

Hier registrieren

Die Ergebnisse heben eine deutliche Zunahme der Aktivitäten hervor, die darauf hindeuten, dass BSIMM-Mitgliedsorganisationen einen „Überall transformieren“-Ansatz für automatisierte und kontinuierliche Sicherheitstests im gesamten SDLC und Risikomanagement in ihrem gesamten Anwendungsportfolio implementieren.

Trends Jahr für Jahr

Eine Möglichkeit, die Unterschiede zwischen BSIMM12 und BSIMM13 im vergangenen Jahr zu untersuchen, besteht darin, nach Trends zu suchen, wie z. B. einem höheren Wachstum der Überwachungsraten zwischen gemeinsamen Aktivitäten. Beispielsweise stieg die Überwachungsrate für die folgenden sechs Aktivitäten bei BSIMM13-Beobachtungen im Vergleich zum Vorjahr um 20 % oder mehr. Dies beinhaltet Folgendes:

  • 34 % implementieren Cloud-Sicherheitskontrollen.
  • 27 % machten die Codeüberprüfung für alle Projekte obligatorisch.
  • 25 % richten einen Standardüberprüfungsprozess ein.
  • 25 % sammeln und nutzen Angriffsinformationen.
  • 24 % nennen Open Source.
  • 20 % erfordern eine Sicherheitsüberprüfung für Compliance-Risiken.
Bildquelle: Synopsys.

Verhalten

Unabhängig davon, ob Organisationen eine Softwaresicherheitsinitiative erstellen oder ausgereifte Software warten, zeigen die Daten von BSIMM13, dass sie die folgenden Schlüsselmaßnahmen in Betracht ziehen sollten:

Setzen Sie Ihre automatisierten Software-Sicherheitstools ein

Unabhängig davon, ob sie für statische oder dynamische Tests oder für die Softwarekonfigurationsanalyse verwendet werden, können diese Tools dabei helfen, Fehler zu beheben und bekannte Schwachstellen in Ihrer Software zu identifizieren, unabhängig davon, ob diese Software intern entwickelt wurde oder kommerzielle, Drittanbieter- oder Open-Source-Software ist.

Verwenden Sie Daten, um Sicherheitsentscheidungen zu treffen

Sammeln und kombinieren Sie Daten aus Ihren Sicherheitstest-Tools und verwenden Sie diese Daten, um Software-Sicherheitsrichtlinien zu erstellen und durchzusetzen. Sammeln Sie Daten zu durchgeführten Tests und entdeckten Problemen, um die Sicherheit sowohl im Softwareentwicklungslebenszyklus als auch in Ihren Governance-Prozessen zu verbessern.

Auf dem Weg zur Automatisierung von Sicherheitstests und -entscheidungen

Abkehr von aufwändigen manuellen Methoden hin zu automatisierten Ansätzen, die effizienter, konsistenter und reproduzierbarer sind.

Wechseln Sie zu kleineren automatisierten Prüfungen innerhalb des SDLC

Ersetzen Sie nach Möglichkeit manuelle Aktivitäten wie Penetrationstests oder manuelle Codeüberprüfung durch kleinere, schnellere, Pipeline-gesteuerte Tests, wann immer sich die Möglichkeit bietet, die Software zu verifizieren.

Erstellen Sie so schnell wie möglich eine umfassende SBO

Die Software-Stückliste sollte eine Bestandsaufnahme Ihrer Assets zusammen mit Open-Source- und Drittanbieter-Code erstellen.

BSIMM ist ein offener Standard, der ein auf Softwaresicherheitspraktiken basierendes Framework enthält, das eine Organisation verwenden kann, um ihre eigenen Softwaresicherheitsbemühungen zu bewerten und zu entwickeln.

BSIMM-Methodik

BSIMM-Daten stammen aus Interviews, die mit Mitgliedsfirmen während der BSIMM-Bewertung durchgeführt wurden. Nach jeder Bewertung werden die Überwachungsdaten anonymisiert und dem BSIMM-Datenpool hinzugefügt, wo statistische Analysen durchgeführt werden, um Trends aufzuzeigen, wie BSIMM-Unternehmen ihre Software sichern.

Lesen Sie den vollständigen Bericht von Synopsys.

VentureBeat-Mission Es soll die digitale Stadtarena für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologien und -transaktionen anzueignen. Entdecken Sie unsere Briefings.

William

Leave a Reply

Your email address will not be published.