Selon l’édition la plus récente du rapport annuel Synopsys Building Security In Maturity Model (BSIMM), 90 % des organisations membres interrogées ont établi des points de contrôle de sécurité logicielle dans leur cycle de vie de développement d’applications logicielles (SDLC), ce qui montre que il s’agit d’une action cruciale pour le succès de leurs initiatives de sécurité logicielle.
En outre, il y a eu une augmentation de 51 % des activités associées à la gestion des menaces open source au cours des 12 derniers mois, ainsi qu’une augmentation de 30 % des organisations développant et maintenant une application logicielle, les coûts des produits ( SBOM).
À propos du Synopsys BSIMM
Lancé en 2008, le BSIMM est un outil pour créer, déterminer et évaluer initiatives de sécurité des applications logicielles. Il utilise un modèle basé sur les données exploitant le plus grand ensemble de données du secteur sur les pratiques de cybersécurité mondiales. BSIMM a été développé grâce à l’étude et à l’analyse prudentes de plus de 200 initiatives de sécurité logicielle.
Le rapport BSIMM13 a examiné les pratiques de sécurité logicielle dans 130 entreprises, dont 48 entreprises Fortune 500 telles qu’Adobe, Bank of America et Lenovo – dans leurs efforts cumulés pour sécuriser plus de 145 000 applications construites et conservées par près de 410 000 concepteurs.
Les résultats mettent en évidence une augmentation considérable des activités qui montrent que les organisations membres du BSIMM mettent en œuvre une approche « changer partout » pour effectuer un filtrage de sécurité automatique et continu dans tout le SDLC et gérer danger dans l’ensemble de leur portefeuille d’applications.
Tendances d’une année sur l’autre
Une méthode pour examiner les distinctions entre les BSIMM12 et BSIMM13 de 2015 consiste à essayer de trouver des tendances, telles qu’un l’évolution des taux d’observation parmi les activités communes. Par exemple, le taux d’observation pour les six activités énumérées ci-dessous a augmenté de 20 % ou plus dans les observations du BSIMM13 par rapport à l’année dernière. Cela comprend les éléments suivants :
- 34 % mettent en œuvre des contrôles de sécurité dans le cloud.
- 27 % rendent la révision du code obligatoire pour tous les projets.
- 25 % créent un processus d’examen des exigences.
- 25 % collectent et utilisent des renseignements sur les attaques.
- 24 % identifient l’open source.
- 20 % ont besoin d’une approbation de sécurité pour la conformité. risque lié.
Passer à l’action
Que les organisations soient en train de produire une initiative de sécurité des applications logicielles ou de préserver un programme entièrement développé, les données BSIMM13 suggèrent qu’elles doivent tenir compte des éléments suivants actions cruciales :
Mettre en place des outils de sécurité logicielle automatisés
Qu’ils soient utilisés pour le dépistage fixe ou dynamique ou l’analyse de la composition des applications logicielles, ces outils peuvent aider à corriger les défauts et identifier les vulnérabilités reconnues dans votre logiciel , que ce logiciel ait été créé en interne, qu’il s’agisse d’un logiciel tiers industriel ou qu’il soit open source.
Utilisez les données pour prendre des décisions en matière de sécurité
Recueillez et combinez les informations de vos outils de contrôle de sécurité et utiliser ces informations pour produire et mettre en œuvre des politiques de sécurité logicielle. Recueillez des données sur les contrôles effectués et les problèmes découverts pour améliorer la sécurité à la fois dans le cycle de vie du développement logiciel et dans vos procédures de gouvernance.
Approche automatisant le contrôle et les décisions de sécurité
Allez loin des techniques manuelles à forte intensité humaine à des approches automatiques plus efficaces, cohérentes et reproductibles.
Passez à des vérifications automatisées de plus petite taille au sein du SDLC
Dans la mesure du possible, modifiez les activités manuelles telles que le stylo test ou évaluation manuelle du code avec un dépistage de plus petite taille, beaucoup plus rapide, piloté par pipeline, chaque fois qu’il y a une opportunité d’inspecter le logiciel.
Développez un SBOM complet le plus rapidement possible
Une nomenclature logicielle doit stocker vos biens, ainsi que du code open source et tiers.
Le BSIMM est une norme ouverte qui comprend un cadre basé sur les pratiques de sécurité des applications logicielles, qu’une organisation peut utiliser pour examiner et affiner ses propres efforts en matière de sécurité logicielle.
Méthode BSIMM
BSIMM les données proviennent d’entretiens menés avec des entreprises membres lors d’une évaluation BSIMM. Après chaque évaluation, les données d’observation sont rendues anonymes et ajoutées au pool de données BSIMM, où une analyse analytique est effectuée pour mettre en évidence les tendances dans la manière dont les entreprises BSIMM protègent leur application logicielle.
Consultez le rapport complet de Run -throughs.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Instructions.
Toute l’actualité en temps réel, est sur L’Entrepreneur