从BSIMM 14看应用安全的变化和趋势

最新推荐文章于 2024-09-24 16:00:00 发布
最新推荐文章于 2024-09-24 16:00:00 发布
阅读量66 收藏
点赞数
分类专栏: 软件安全 文章标签: 数据安全 安全性测试 供应链安全 安全 代码审计 开源治理
原文链接:https://news.synopsys.com/2023-12-05-BSIMM14-Report-Application-Security-Automation-Soars
版权
新思科技发布的BSIMM14报告显示,2023年企业加强了开发工具链的安全性,自动化测试工具使用增加,安全融入DevOps,风险管理扩展至第三方和开源组件。AI在安全中的作用增强,但中小企业云安全投入受限。
摘要由CSDN通过智能技术生成

2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。我这里简单归纳了一下:

  1. 企业正在对开发工具链进行升级改造,充分利用自动化检测工具开展安全测试活动;
  2. 安全工具整合到研发生命周期中增加了10%;
  3. 安全团队接受了安全无处不在的理念,在pipline中安全治理活动增长了60%;
  4. 很多企业开始具有整合AST工具检测结果的能力;
  5. 开发团队执行安全编码活动在下降了几年后又开始反弹;
  6. 由被动解决安全漏洞开始转向预防安全漏洞的产生;
  7. 风险管理扩展到关注外部来源的软件的风险,关注集成第三方和开源组件的风险;创建SBOM增长了22%;识别开源和控制开源从BSIMM 13到BSIMM 14增长率将近10%;
  8. 公司采购第三方软件时,要求供应商执行相应的安全标准增长了21%;
  9. 很多公司创建特定技术攻击模式应对独特的威胁活动,增长了15%;
  10. 很多公司跟踪威胁情报中安全漏洞披露的活动。
  11. 虽然说基于云架构业务的企业开展安全活动更容易,但是面临来自于市场和攻击者的挑战,但是由于经济原因,导致开展云上业务的中小企业投入安全上的费用减少;
  12. AI在安全生态中逐渐应用,提高生产力的同时,也引入新的攻击面和风险。

       完整的BSIMM 14翻译资料,我看看是否传到资料中。

(结束)

manok
关注
专栏目录
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
12-19
这份报告反映了2023年软件安全领域的最新趋势和关键变化。 报告的"执行摘要"部分,通常会概述主要发现、关键洞察以及对业界的建议。根据描述,BSIMM14提供了访问该模型的途径,并通过"数据指示灯"展示了当前软件...
藏经阁-(BSIMM)-构筑坚若磐石的安全软件.pdf
09-09
BSIMM(Building Security In Maturity Model),也称为构筑坚若磐石的安全软件,是一种软件安全度量模型,旨在帮助组织评估和改进其软件安全实践。该模型创建于2008年,由McGraw、Migues和West共同开发,目的是创建...
BSIMM11报告反映了企业如何调整其软件安全计划以支持现代软件开发范例
SIGinChina的博客
11-11 280
自2008年起,新思科技(Synopsys, Inc.,Nasdaq: SNPS)每年都会通过与直接参与企业软件安全活动的人员进行数百次访谈,收集不同企业的实际软件安全实践的定量数据,并分析汇总成为报告——软件安全构建成熟度模型(BSIMM)。近日,新思科技发布了BSIMM11报告。 BSIMM旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险
【读书笔记】《大型互联网企业安全架构(石祖文)》
weixin_44211968的博客
11-11 1万+
本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全
软件安全构建成熟度模型演变与分析
weixin_33918357的博客
11-01 741
前言 软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。但是,能否将安全开发的概念整合到企业原有的开发过程中,通常取决于企业规模、资源(时间、人才和预算),以及管理层支持等各种因素。如果方式不当,很可能造成高昂的成本甚至整合失败。 建立软件安全构建成熟...
CISP注册信息安全专业人员知识体系大纲(CISE/CISO)
Anything that can make the world better is promising!
10-10 1470
CISP (CISE/CISO) 注册信息安全专业人员知识体系大纲
选型宝分享什么是没有基因缺陷的信息安全体系?
weixin_45368963的博客
07-18 263
写在前面 目前所有的安全厂商的安全理念都是错的! 99%的企业的安全系统都是有基因缺陷的! 这是选型宝主编与SYNOPSYS中国区部门业务负责人、 Coverity产品线专家 韩葆首次交流时,他率先抛出的两个观点! PART1 Q 作为一家EDA和IP领域的一个全球的领导者,那么你们为什么会想要进入这个安全市场,这个市场其实已经很拥挤了。那么你们的优势在哪? 韩葆 其实这样的,在过去的30多年里我...
美国新思科技首次在亚太地区发布BSIMM8模型
中国计算机报
11-10 916
美国新思科技公司发布其业界领先的最新版本的软件安全构建成熟度模型 —— BSIMM8。该模型是基于真实数据,旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM8是软件安全构建成熟度模型(BSIMM)的第八个版本,首次于亚太区发布,是迄今为止发布最详细的BSIMM数据。BSIMM8显示随着越来越多企业在SSI生命周期初期就已经设立基准,软件安全已经成为他们一项关键的考量。企业运用评估
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
谷歌原数据保护团队技术主管:零信任实践分享
企业安全
09-02 2万+
本文作者2015至2020年有幸参与了谷歌生产环境零信任(Zero Trust in Production Environments)的理论和实践。在此背景下开发的Binary Authorization for Borg(BAB) 系统已经在谷歌生产环境中实现了全面覆盖:任何人在生产环境中以任何服务的身份运行任何软件包之前,都必须为目标服务建立一个足够强的BAB安全策略。不符合BAB安全策略的程序将不会被允许以相应服务的身份运行。 在实现和推广这种生产环境零信任的过程中,BAB团队走了不少弯
CISP知识体系
sherlockmj的博客
05-07 2167
一、知识域:信息安全保障 知识子域:信息安全保障基础 信息安全概念 了解信息安全的定义及信息安全问题侠义、广义两层概念与区别; 理解信息安全问题的根源(内因和外因); 理解信息安全的系统性、动态性、无边界、非传统等特征; 了解威胁情报、态势感知的基本概念及对信息安全的作用。 信息安全属性 理解信息安全属性的概念及 CIA三元组(保密性、完整性、可用性); 了解真实性、不可否认性、可问责性、可靠性等其他不可缺少的信息安全属 性。 信息安全视角 ...
「WEB应用防火墙」BSIMM——构筑坚若磐石的安全软件 - 无线安全.zip
11-30
「WEB应用防火墙」BSIMM——构筑坚若磐石的安全软件 - 无线安全 数据安全 安全实践 安全体系 Android 安全管理
BSIMM——构筑坚若磐石的安全软件.pdf
08-07
不断演变的软件质量和安全环境、部署环境的不断变化、新技术堆栈和攻击面的扩大、嵌入式设备和云服务的普及,以及新的开发语言和框架的出现,都对软件安全提出了新的要求。为了应对这些挑战,敏捷开发、运维CI/CD和...
CNAS软件检测实验室信息安全性测试作业指导书编写指南
最新发布
daopuyun的博客
09-24 1330
首先分析确定要测试内容(身份鉴别、访问控制、数据安全安全审计、漏洞扫描、接口安全、密码应用、抗抵赖性、个人信息保护、剩余信息保护、组件安全、业务安全、依从性),然后根据要测试内容,进一步分析系统所涉及到的敏感数据、关键功能处理逻辑、关键业务流程、数据接口等信息,为测试用例设计做准备。如身份鉴别类,人工检查系统登录模块,用户及口令相关配置,并进行登录等相关的操作,验证相关测试项是否符合预期的安全要求。如有类似密码找回的功能、有流程回退的业务流程、有验证码的功能操作、有数量限制的功能操作等。
API安全推荐厂商瑞数信息入选IDC《中国数据安全技术发展路线图》
科技云报道
09-20 487
本次IDC TechScape研究根据技术的市场影响以及各技术的发展阶段,将包括API安全在内的22个新兴及重要的数据安全技术分为变革型技术、增量型技术以及机会型技术三大类别,详细阐述每个单项数据安全技术的发展程度、技术优劣势,并给出IDC在不同技术领域下的产品推荐厂商名录。内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
Dependency Check:一款针对应用程序依赖组件的安全检测工具
FreeBuf_的博客
09-19 2046
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。
安卓开发中,可以反射去换肤,那么我们应该也可以使用反射去串改我们的程序,作为开发者,我们如何保证我们自己的应用安全呢?
qq_43664361的博客
09-22 456
在安卓开发中,虽然反射提供了强大的动态操作能力,包括访问和修改类、接口、字段以及方法,但这也为潜在的恶意攻击者提供了篡改程序的可能性。作为开发者,我们需要采取一系列措施来确保自己应用安全,防止反射被用于非法目的。
BSIMM11:企业应用安全的12个关键基准与趋势
BSIMM 11,全称为"软件安全成熟度模型"的第十一版,是企业广泛应用的一种工具,用于评估和提升软件安全开发的成熟度。该模型关注的是在四个核心领域——治理、情报、安全软件开发生命周期(SSDL)接触点和部署——内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值