Rapport : 90 % des organisations ont des points de contrôle de sécurité logicielle dans leur cycle de vie de développement logiciel (SDLC)
Découvrez comment votre entreprise peut créer des applications pour automatiser les tâches et générer des gains d’efficacité supplémentaires grâce à des outils low-code/no-code le 9 novembre lors du sommet virtuel Low-Code/No-Code. Inscrivez-vous ici.
Selon la dernière édition du rapport annuel SynopsysBuilding Security In Maturity Model (BSIMM), 90 % des organisations membres interrogées ont établi des points de contrôle de sécurité logicielle dans leur cycle de vie de développement logiciel (SDLC), ce qui indique qu’il s’agit d’une étape importante vers le succès de leur initiatives de sécurité logicielle.
De plus, il y a eu une augmentation de 51 % des activités associées au contrôle des risques liés à l’open source au cours des 12 derniers mois, ainsi qu’une augmentation de 30 % des organisations qui élaborent et maintiennent une nomenclature logicielle (SBOM).
À propos de Synopsys BSIMM
Lancé en 2008, le BSIMM est un outil de création, de mesure et d’évaluation des initiatives de sécurité logicielle. Il utilise un modèle basé sur les données exploitant le plus grand ensemble de données de l’industrie sur les pratiques de cybersécurité dans le monde. BSIMM a été développé grâce à l’étude et à l’analyse minutieuses de plus de 200 initiatives de sécurité logicielle.
Le rapport BSIMM13 a analysé les pratiques de sécurité logicielle dans 130 entreprises, dont 48 sociétés Fortune 500 telles qu’Adobe, Bank of America et Lenovo, dans leurs efforts cumulés pour sécuriser plus de 145 000 applications créées et maintenues par près de 410 000 développeurs.
Événement
Sommet Low-Code/No-Code
Rejoignez les principaux dirigeants d’aujourd’hui au sommet Low-Code/No-Code virtuellement le 9 novembre. Inscrivez-vous pour votre laissez-passer gratuit dès aujourd’hui.
Inscrivez-vous ici
Les résultats mettent en évidence une augmentation significative des activités qui indiquent que les organisations membres du BSIMM mettent en œuvre une approche de changement partout pour effectuer des tests de sécurité automatisés et continus dans tout le SDLC et gérer les risques sur l’ensemble de leur portefeuille d’applications.
Tendances d’une année sur l’autre
Une façon d’examiner les différences entre les dernières années BSIMM12 et BSIMM13 consiste à rechercher des tendances, telles qu’une forte croissance des taux d’observation parmi les activités communes. Par exemple, le taux d’observation pour les six activités ci-dessous a augmenté de 20 % ou plus dans les observations du BSIMM13 par rapport à l’année dernière. Cela inclut les éléments suivants :
- 34 % mettent en œuvre des contrôles de sécurité dans le cloud.
- 27 % rendent la revue de code obligatoire pour tous les projets.
- 25 % créent un processus de révision des normes.
- 25 % collectent et utilisent des renseignements sur les attaques.
- 24% identifient l’open source.
- 20 % exigent une approbation de sécurité pour les risques liés à la conformité.
Prendre part
Que les organisations soient en train de créer une initiative de sécurité logicielle ou de maintenir un programme mature, les données BSIMM13 indiquent qu’elles devraient envisager les actions clés suivantes :
Mettre en place des outils de sécurité logicielle automatisés
Qu’ils soient utilisés pour des tests statiques ou dynamiques ou pour l’analyse de la composition logicielle, ces outils peuvent aider à remédier aux défauts et à identifier les vulnérabilités connues de votre logiciel, que ce logiciel ait été développé en interne, qu’il s’agisse d’un logiciel tiers commercial ou qu’il soit open source.
Utiliser les données pour prendre des décisions en matière de sécurité
Collectez et combinez les données de vos outils de test de sécurité et utilisez ces données pour créer et appliquer des politiques de sécurité logicielle. Rassemblez des données sur les tests effectués et les problèmes découverts pour améliorer la sécurité à la fois dans le cycle de vie du développement logiciel et dans vos processus de gouvernance.
Aller vers l’automatisation des tests de sécurité et des décisions
Abandonnez les approches manuelles à forte intensité humaine au profit d’approches automatisées plus efficaces, cohérentes et reproductibles.
Passer à des vérifications plus petites et automatisées au sein du SDLC
Dans la mesure du possible, remplacez les activités manuelles telles que les tests de pénétration ou la révision manuelle du code par des tests plus petits, plus rapides et pilotés par pipeline chaque fois qu’il est possible de vérifier le logiciel.
Créer un SBOM complet dès que possible
Une nomenclature logicielle doit répertorier vos actifs, ainsi que le code open source et tiers.
Le BSIMM est une norme ouverte qui comprend un cadre basé sur les pratiques de sécurité logicielle, qu’une organisation peut utiliser pour évaluer et faire mûrir ses propres efforts en matière de sécurité logicielle.
Méthodologie BSIMM
Les données BSIMM proviennent d’entretiens menés avec des entreprises membres lors d’une évaluation BSIMM. Après chaque évaluation, les données d’observation sont anonymisées et ajoutées au pool de données BSIMM, où une analyse statistique est effectuée pour mettre en évidence les tendances dans la manière dont les entreprises BSIMM sécurisent leur logiciel.
Lire le rapport complet de Synopsys.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. Découvrez nos Briefings.