Shift Left se convierte en Shift en todas partes,
De acuerdo a Sinopsis‘Estudio BSIMM11, hay algunas tendencias clave a tener en cuenta cuando se trata de prácticas de seguridad de software.
En primer lugar, muestra que la instrumentación de CI / CD y la orquestación de operaciones se han convertido en componentes estándar de las iniciativas de seguridad de software de muchas empresas, lo que influye en la forma en que se organizan, diseñan y ejecutan. Por ejemplo, los equipos de seguridad de software están comenzando a reportar a un equipo de tecnología o CTO en lugar de reportar a un equipo de seguridad de TI o CISO. Además, están cambiando la forma en que reclutan y organizan su talento.
En segundo lugar, organizaciones son comenzando a automatizar sus actividades, mudado procesos humanos y toma de decisiones para algoritmos, desencadenados por eventos en la ejecución de la canalización de CI / CD. Esta es una de las formas en que las empresas abordan las limitaciones de recursos y los problemas de gestión de la cadencia.
A continuación, el concepto de “cambio a la izquierda” ha avanzado para llevar a cabo actividades de seguridad tan pronto como estén disponibles los artefactos a revisar. Esto podría resultar en «Cambiar a la izquierda» se convierte en «cambiar a todas partes» lo que significa que las actividades que tradicionalmente se realizan a la izquierda se mueven hacia la derecha, incluso en la producción.
Por último, después de un exhaustivo revisión de la base de datos, se volvió aparentemente importante que hubiera una categoría separada (FinTech) para empresas que son ISV específicamente para software de servicios financieros debido al aumento de datos dentro de la vertical financiera.
“La forma en que se construye e implementa el software moderno se ha transformado drásticamente en los últimos años, por lo que, naturalmente, los esfuerzos necesarios para asegurar ese software también están cambiando”, dijo Michael Ware, coautor de BSIMM y director senior de tecnología en Synopsys. “Las empresas dependen en gran medida del software y las metodologías modernas han acelerado la velocidad del desarrollo. Como resultado, hay más software en todas partes y todavía tenemos que preocuparnos por todo el software preexistente. Como modelo que evoluciona constantemente para representar las prácticas reales que utilizan cientos de grupos de seguridad de software en todo el mundo, incluidos algunos de los equipos más avanzados del mundo, el BSIMM proporciona una vista casi en tiempo real de cómo se están realizando estos cambios. implementado para proteger las crecientes carteras de software «.
En el último año, las tres actividades que se agregaron a BSIMM10 tienen grposeer exponencialmente. Estos fueron SM3.4 Gobierno integrado del ciclo de vida definido por software, AM3.3 Monitor de creación automatizada de activos y CMVM3.5 Verificación automática de la seguridad de la infraestructura operativa. Este crecimiento refleja cómo las empresas están trabajando para acelerar sus esfuerzos de seguridad de software al ritmo de la entrega de software. De manera similar, el BSIMM11 ha agregado dos actividades adicionales en un esfuerzo por continuar esta tendencia. Estos son ST3.6 Implementación de pruebas de seguridad basadas en eventos y CMVM3.6 Publicación de datos de riesgo para artefactos implementables.
BSIMM o Construcción de seguridad en el modelo de madurez, es el undécimo informe de Synopsys analizar las prácticas de seguridad del software en 130 organizaciones diferentes en una variedad de industrias, incluidas las financieras servicios, FinTech, proveedores de software independientes, nube, atención médica, Internet de las cosas, seguros y venta minorista. BSIMM11 describe el trabajo de más de 8,000 profesionales de seguridad de software que están guiando los esfuerzos de casi 500,000 desarrolladores.
BSIMM fue creado para ayudar a las organizaciones a planificar, ejecutar, medir unnd mejorar sus iniciativas de seguridad de software (SSI). A través de la comunidad de otro empresas que utilizan BSIMM, son capaces de comparar y contrastar sus propias iniciativas a lo largo de con los datos proporcionados por otros. En el último informe, BSIMM11 muestra cómo las organizaciones están adaptando sus esfuerzos de seguridad de software para respaldar la transformación digital y los paradigmas de desarrollo de software moderno como DevOps.
«El BSIMM es un recurso excelente para los líderes de seguridad interesados en aprender de las experiencias colectivas de sus pares, particularmente para resolver desafíos nuevos o emergentes», dijo Miguel Recién nacido, CISO de Navy Federal Credit Union, una organización miembro de la comunidad BSIMM. “Hoy en día, la mayoría de las organizaciones enfrentan el desafío de asegurar una creciente cartera de aplicaciones en el contexto de prácticas de desarrollo de software en rápida evolución y aceleración. BSIMM11 refleja cuántas de estas organizaciones están adaptando sus estrategias de seguridad de software para protegerse a sí mismas y a sus clientes sin sofocar la innovación ni obstaculizar la velocidad del desarrollo «.
BSIMM proporciona una perspectiva importante para comprender y comparar las fortalezas y debilidades de las iniciativas de seguridad de software en diferentes industrias, impulsadas por datos. Las tres verticales más maduras en el grupo de datos BSIMM11 son la nube, Internet de las cosas y empresas de alta tecnología. De manera similar, identifica las diferencias entre las tres principales verticales reguladas; servicios financieros, salud y seguros con financiero los servicios son los más maduros, tener grupos de seguridad de software en su lugar antes que los demás.
Leer el Resumen de BSIMM11 o descarga el completo Estudio BSIMM11.