没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
BSIMM12
2021年洞察与
趋势报告
目录
执行概述 ........................................................................................... 4
• 了解BSIMM ...................................................................................................... 4
• BSIMM12参与者 .............................................................................................. 4
图1.BSIMM12参与企业 ............................................................................. 4
• BSIMM框架 ...................................................................................................... 5
• BSIMM数据的演进 .......................................................................................... 5
表1.BSIMM数据随时间发生的变化 .......................................................... 5
• BSIMM路线图 .................................................................................................. 6
BSIMM术语表 .................................................................................................. 6
第二部分:活动
BSIMM12评估的软件安全活动 ........................................................... 8
表2.10项最常见的BSIMM12活动 ............................................................. 8
• 10项最常见活动的细分 ................................................................................... 9
实施对开周期各环节的检测并用于定义治理 ........................................... 9
确保主机及网络安全性基础就位 .............................................................. 9
确定个人身份信息(PII)责任....................................................................... 9
开展安全性功能审查 ................................................................................. 9
聘请外部渗透测试人员来查找问题 ........................................................... 9
创建事件响应机制或者与事件响应团队交流 ......................................... 10
集成并交付安全性功能 ............................................................................ 10
采用自动化工具 ....................................................................................... 10
确保QA执行支持边缘/边界值条件测试 .................................................. 10
把合规约束转变成需求 ............................................................................ 10
• 活动的增长 ..................................................................................................... 11
表3.增长最快的活动 ................................................................................ 11
BSIMM12垂直行业比较 ................................................................... 12
图2.2级和3级活动的观察计数 ................................................................ 12
• 物联网、云计算和ISV行业 ............................................................................ 13
图3.云计算、物联网与ISV行业相比较 .................................................... 13
• 物联网和金融科技行业 .................................................................................. 14
图4.物联网与金融科技行业相比较 ......................................................... 14
• 金融服务、医疗健康和保险行业 .................................................................. 15
图5.金融服务、医疗健康和保险行业相比较 .......................................... 15
BSIMM12 软件安全活动的新兴趋势 .................................................. 16
• 借调资源、人员和知识用于开展 DevSecOps 活动 ...................................... 16
• 治理即代码 ..................................................................................................... 16
• 持续缺陷发现和持续改进 .............................................................................. 17
• 持续安全软件开发生命周期改进 .................................................................. 17
• 安全即弹性和质量 ......................................................................................... 18
• 其他活动趋势 ................................................................................................ 18
备受瞩目的勒索软件和软件供应链破坏促使软件安全日益受到关注 .. 18
“左移”变为“无处不移”,以更好地管理风险 .................................. 19
企业开始学习如何将风险转化为数字 ..................................................... 20
高风险应用的架构分析和设计审查变得越来越普遍 .............................. 20
结论和建议 ...................................................................................... 21
通过BSIMM提高安全意识和采用率 ................................................... 22
BSIMM评估是安全计划的基础 .......................................................... 23
致谢 ............................................................................................ 24
第三部分:附录
附录 ............................................................................................ 26
BSIMM框架 ............................................................................................................... 26
表A. 软件安全框架..................................................................................................... 26
BSIMM轮廓 ............................................................................................................... 27
表B. BSIMM轮廓 ........................................................................................................ 27
第一部分:执行概述
第一部分
执行概述
4
软件安全构建成熟度模型(BSIMM)洞察与趋势报告报告 – 第12版
执行概述
了解BSIMM
2008年,来自新思科技软件质量与安全部门(当时名为“Cigital”)的顾问、研究人员和数据专家开始收集有关企业为应对软件安全挑战而采取的不同途径的数
据。他们的目标是调研软件安全计划方面卓越成效的企业,通过面对面访谈的方式来了解这些企业的活动,并发布调查结果。
该结果就是软件安全构建成熟度模型(更广为人知的名称是BSIMM) — 通过观察到的活动为软件安全计划提供基线的描述性模型。由于这些计划通常使用不同的
方法和术语,因此,BSIMM还为软件安全计划创建了一个通用词汇表。
BSIMM12参与者
2021版BSIMM报告 - BSIMM12 – 研究了来自不同行业领域的128家企业的软件安全活动的匿名化数据,包括金融服务、金融科技、独立软件供应商(ISV)、物联
网(IoT)、医疗健康、云计算和科技公司(见图1)。
图1.BSIMM12参与企业
Ԙ২ࡳ
(79%)
оן֪Ԛ
(8%)
֢/ࠬ
(13%)
壝܉
(10%)
܉
(14%)
ࣞў҈ځ
(20%)
ன։
(3%)
ґக
(6%)
ԛҡډ
(7%)
к
(13%)
࣒৻ৠ
(9%)
壝
(18%)
跟踪的参与者在行业市场和地理位置的占比。
5
软件安全构建成熟度模型(BSIMM)洞察与趋势报告报告 – 第12版
BSIMM框架
BSIMM活动观察使用由12个软件安全实践组成的框架,这些实践分属于四个领域:“治理”、“情报”、“SSDL触点”和“部署”,这四个领域目前包含122项
活动。以“治理”领域为例,有关BSIMM领域、实践和活动的说明,请访问 https://www.bsimm.com。《BSIMM12基础》文件提供了有关BSIMM12背景、数据
和观察结果的详细信息,请访问 https://www.bsimm.com/resources.html。
从高管的角度来看,您可以将BSIMM活动视为在软件安全风险管理框架中实施的控制措施。您所开展的活动可能会在软件安全计划中起到预防、检测、纠正或补
偿控制措施的作用。将这些活动定位为控制措施,便于治理、风险与合规、法律、审计和其他风险管理团队更容易地理解BSIMM的价值。BSIMM活动级别用于区
分在参与企业中观察到的活动的频率。经常观察到 的活动被指定为“第1级”,较少观察到的和极少观察到的活动分别被指定为“第2级”和“第3级”。
BSIMM数据的演进
BSIMM项目已从2008年的9家参与企业发展到2021年的128家,目前拥有近3,000名软件安全团队成员和6,000多名外围小组(又名安全拥护者)成员。参与企业的
软件安全计划的平均年限为4.4年。如表1所示,随着参与者进/出BSIMM社区,BSIMM相关数据可能会逐年略有波动。
BSIMM数据的演进
BSIMM12 BSIMM11 BSIMM10 BSIMM9 BSIMM8 BSIMM7 BSIMM6 BSIMM-V BSIMM4 BSIMM3 BSIMM2 BSIMM1
公司数 128 130 122 120 109 95 78 67 51 42 30 9
评估次数 341 357 339 320 256 237 202 161 95 81 49 9
第2轮评估公司数 31 32 50 42 36 30 26 21 13 11 0 0
第3轮评估公司数 14 12 32 20 16 15 10 4 1 0 0 0
第4轮评估公司数 4 7 8 7 5 2 2
SSG
*
成员数量 2,837 1,801 1,596 1,600 1,268 1,111 1,084 976 978 786 635 370
外围小组成员数量 6,448 6,656 6,298 6,291 3,501 3,595 2,111 1,954 2,039 1,750 1,150 710
开发人员数量 398,544 490,167 468,500 415,598 290,582 272,782 287,006 272,358 218,286 185,316 141,175 67,950
应用程序数量 153,519 176,269 173,233 135,881 94,802 87,244 69,750 69,039 58,739 41,157 28,243 3,970
SSG平均年限(年) 4.41 4.32 4.53 4.13 3.88 3.94 3.98 4.28 4.13 4.32 4.49 5.32
表1.BSIMM数据随时间发生的变化
该图显示了BSIMM研究多年来的发展情况。(*SSG=软件安全团队)
剩余30页未读,继续阅读
资源评论
Filischen
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 高等数学第一章第二节数列的极限
- Python 版冒泡排序算法源代码
- tensorflow-gpu-2.7.2-cp38-cp38-manylinux2010-x86-64.whl
- tensorflow-2.7.3-cp39-cp39-manylinux2010-x86-64.whl
- tensorflow-2.7.2-cp39-cp39-manylinux2010-x86-64.whl
- Python版本快速排序源代码
- Python 语言版的快速排序算法实现
- 450815388207377安卓_base.apk
- 超微主板 X9DRE-TF+ bios 支持 nvme启动
- 基于Python通过下载气象数据和插值拟合离散数据曲线实现对寒潮过程的能量分析
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功