Building Security In Maturity Model Report von Synopsys Sichere Open-Source-Nutzung und Developer-Toolchains

Von Stephan Augsten

Anbieter zum Thema

Unternehmen wählen bei der Anwendungssicherheit vermehrt einen risikobasierten Ansatz und konzentrieren sich mehr auf Software-Lieferketten. Dies schreibt Synopsys nach Auswertung der Daten, die in den „Building Security In Maturity Model“- oder kurz BSIMM-Bericht einfließen.

Der „BSIMM13 Foundations“-Bericht von Synopsys untersucht branchenspezifische Trends beim Software-Security-Reifegrad.
Der „BSIMM13 Foundations“-Bericht von Synopsys untersucht branchenspezifische Trends beim Software-Security-Reifegrad.
(Bild: Synopsys)

Das 2008 initiierte BSIMM ist ein Reifegradmodell, das die Aktivitäten von Softwaresicherheitsexperten beobachtet und quantifiziert. Die Daten stammen aus Interviews, welche während eines BSIMM-Assessments durchgeführt wurden. Der BSIMM13-Report fasst die Software-Sicherheitspraktiken von 130 Unternehmen zusammen, die Synopsys-Lösungen nutzen, darunter Adobe, PayPal und Lenovo. Als Datenbasis dienen damit mehr als 145.000 Anwendungen, die von fast 410.000 Entwicklern erstellt und gepflegt werden.

Höchste Priorität scheint in den beteiligten Unternehmen demnach das Risikomanagement für Softwarelieferketten zu genießen. Besonderes Augenmerk wird dabei auf das Identifizieren und Sichern von Open-Source-Software gelegt. Maßnahmen, die der Kontrolle von Open-Source-Risiken dienen, hätten in den vergangenen 12 Monaten um 51 Prozent zugenommen. Laut Synopsys erstellen und pflegen 30 Prozent mehr Unternehmen eine Software-Stückliste (Software Bill of Materials, SBOM).

Erhebliche Fortschritte haben Unternehmen in den vergangenen 12 Monaten bei der Integration von Sicherheitsoptionen in CI/CD-Pipelines und Entwickler-Toolchains gemacht, schreibt Synopsys. Die BSIMM13-Daten belegten einen Anstieg von 48 Prozent bei den Aktivitäten, die es Unternehmen ermöglichen, Sicherheitstests in die QS-Automatisierung zu integrieren. Ebenso hat die interdisziplinäre Zusammenarbeit von Operations- und Security-Teams zugelegt, in den vergangenen 12 Monaten haben kontinuierliche Maßnahmen zur Verbesserung der Softwaresicherheit gar um 95 Prozent zugenommen.

82 der 130 BSIMM-Mitgliedsunternehmen verwenden Synopsys zufolge automatisierte Testimg-Tools, um Code zu überprüfen. Dies versetze sie in die Lage, schnellere inkrementelle Sicherheitstests durchzuführen und Schwachstellen zu identifizieren, sobald sie im SDLC auftreten. Mehr zu den Ergebnissen und dem BSIMM-Programm verraten der BSIMM13 Trends & Insights Report und der ausführlichere „BSIMM13 Foundations“-Bericht mit branchenspezifischen Trends.

(ID:48595746)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung