Größtes – je über Softwaresicherheit erhobenes – Datenmaterial offenbart wachsenden Einfluss der Cloud-Transformation
MOUNTAIN VIEW, Kalifornien/USA, 2. Oktober 2018 – Synopsys, Inc. (Nasdaq: SNPS) veröffentlichte heute BSIMM9, die neueste Version des Building Security In Maturity-Modells, das Unternehmen bei der Planung, Ausführung und Messung ihrer Software Security-Initiativen (SSIs) unterstützen soll. Für die neunte Auflage von BSIMM wurden unter anderem Daten von bekannten Firmen wie Oracle, Adobe, PayPal, Alibaba, Cisco, General Electric, Lenovo, Nvidia oder Sony Mobile analysiert, die im Rahmen einer 10-jährigen Beobachtungsphase realer SSIs in insgesamt 120 Unternehmen erhoben wurden. BSIMM9 hebt insbesondere die Auswirkungen der Cloud-Transformation, das Wachstum der Softwaresicherheits-Community sowie die Daten der erstmals vertretenen Retail-Branche hervor. Um die Studie herunterzuladen, besuchen Sie www.bsimm.com/download.html.
„Um erfolgreich zu arbeiten, müssen sich Entwicklungs-, Sicherheits- und Betriebsteams abstimmen. BSIMM9 liefert Daten, die darauf hindeuten, dass dies zunehmend automatisiert geschieht, insbesondere da sich die Software in die Cloud verlagert“, sagt Dr. Brian Chess, Senior Vice President of Infrastructure and Security für NetSuite bei Oracle. „Dies ist ein großer Schritt in die richtige Richtung: mehr Geschwindigkeit und gleichzeitig mehr Sicherheit.“
BSIMM9 beschreibt die Arbeit von mehr als 7.800 Softwaresicherheitsexperten, die die Sicherheitsaufgaben von 415.000 Entwicklern in rund 135.000 Anwendungen leiten. BSIMM9-Unternehmen repräsentieren Branchen wie Finanzdienstleistungen, unabhängige Softwareentwickler (ISVs), Cloud, Gesundheitswesen, Internet der Dinge (IoT), Versicherungen und Handel.
Die wichtigsten Ergebnisse der Studie:
Cloud-Transformation: Unternehmen verlagern ihre Workloads und Entwicklungspipelines immer stärker in die Cloud – ein Paradigmenwechsel, der unterschiedliche Ansätze zur Softwaresicherheit erfordert. Drei neue Aktivitäten, die direkt oder indirekt mit der Cloud-Transformation zusammenhängen, wurden beobachtet und BSIMM hinzugefügt. Darüber hinaus haben sich die Aktivitäten unabhängiger Softwareanbieter, IoT-Unternehmen und Cloud-Firmen stark angenähert, was darauf hindeutet, dass gemeinsame Cloud-Architekturen ähnliche Softwaresicherheitsaktivitäten erfordern.
Branchen: BSIMM kann verwendet werden, um SSIs innerhalb eines Geschäftsfeldes oder branchenübergreifend zu vergleichen. Erstmals ist auch der Handel als Branche vertreten. SSIs werden im Handel immer häufiger angestoßen, da E-Commerce für die Aufrechterhaltung eines gesunden Geschäfts immer entscheidender wird.
Wachstum: BSIMM9 umfasst die Daten von 120 Unternehmen. Bei der achten Auflage der Studie waren es noch lediglich 109. Die Zahl der erfassten Softwaresicherheitsexperten stieg gleichzeitig um 65 Prozent, die der Entwickler um 43 Prozent. Dieser bemerkenswerte Anstieg der Datenbasis zeigt, dass der Stellenwert von Softwaresicherheit deutlich zugenommen hat.
„Das BSIMM-Projekt hat sich zu einem De-Facto-Standard für die Bewertung und Verbesserung von Softwaresicherheit entwickelt“, sagt Dr. Gary McGraw, Vice President of Security Technology bei Synopsys. „Durch die Messung Ihres Unternehmens mit BSIMM können Sie Ihren Sicherheitsansatz direkt mit einigen der weltweit führenden Unternehmen vergleichen. BSIMM9 ist der Höhepunkt eines Jahrzehnts objektiver, beobachtungsbasierter Arbeit vor Ort und enthält den größten Datensatz, der über Softwaresicherheit jemals gesammelt wurde.“
BSIMM umfasst Daten von Unternehmen, die echte SSIs etabliert haben. 116 gemessene Softwaresicherheitsaktivitäten bilden die Basis, um Gemeinsamkeiten und Unterschiede, die jede Initiative einzigartig machen, aufzuzeigen. Die BSIMM-Daten offenbaren, dass Initiativen mit einem hohen Reifegrad besonders erfolgreich sind und zahlreiche Aktivitäten in allen 12 der im Modell beschriebenen Praktiken durchführen. Unternehmen können BSIMM darüber hinaus nutzen, um Initiativen zu vergleichen und in Erfahrung zu bringen, welche zusätzlichen Aktivitäten nützlich sein könnten, um ihre Gesamtstrategie zu unterstützen.
Danksagungen
Dr. McGraw analysierte zusammen mit Sammy Migues, leitender Wissenschaftler bei Synopsys, und Jacob West, Vice President of Cloud Operations für NetSuite bei Oracle, Daten, die in den letzten 10 Jahren der Softwaresicherheitsforschung gesammelt wurden. Zu den beteiligten Unternehmen gehören Adobe, The Advisory Board Company, Aetna, Alibaba Group, Amgen, Anda, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dahua, Depository Trust & Clearing Corporation, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, Highmark Health, The Home Depot, Horizon Healthcare Services, HSBC, Independent Health, iPipeline, Johnson & Johnson, JPMorgan Chase, Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, Nvidia, NXP Semiconductors, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Sony Mobile, Splunk, Synopsys, Target, TD Ameritrade, Trainline, Trane, U.S. Bank, The Vanguard Group, Veritas, Verizon, Wells Fargo, Zendesk, and Zephyr Health.
Über BSIMM
Das 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Werkzeug zur Messung und Bewertung von Software-Sicherheitsinitiativen. Das BSIMM ist ein datengesteuertes Modell und Messwerkzeug, das durch die sorgfältige Untersuchung und Analyse von Software-Sicherheitsinitiativen entwickelt wurde und reale Daten von mehr als 100 Unternehmen enthält. Der BSIMM ist ein offener Standard, der ein auf Software-Sicherheitspraktiken basierendes Framework beinhaltet, mit dem ein Unternehmen seine eigenen Anstrengungen in der Software-Sicherheit bewerten kann. Weitere Informationen finden Sie unter bsimm.com.
Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.
Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.
Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA | USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software
Pressekontakt
Berkeley Kommunikation GmbH
Joachim Dreher
Landwehrstraße 61
80336 München | Deutschland
0049-89-747262-44
joachim.dreher@berkeleypr.com
http://www.berkeleypr.com/de