Adobe, PayPal ve Lenovo dahil 130 kuruluşun yazılım güvenliği uygulamalarını analiz eden Synopsys’in Olgunluk Modelinde Bina Güvenliği (BSIMM) raporu, açık kaynaklı yazılım bileşenlerini güvence altına almaya ve güvenliği geliştirici araç zincirlerine entegre etmeye yönelik faaliyetlerde yaklaşık %50’lik bir artış tespit etti; son 12 ayda yazılım tedarik zinciri güvenliğinin üstesinden gelmek için daha büyük bir girişim olduğunu gösteriyor.
Bulgular, BSIMM üye kuruluşlarının yazılım geliştirme yaşam döngüsü (SDLC) boyunca otomatik ve sürekli güvenlik testleri gerçekleştirmek ve eksiksiz uygulama portföyleri genelinde riski yönetmek için “her yere geçiş” yaklaşımını uyguladığını gösteren faaliyetlerde önemli bir artışın altını çiziyor.
“BSIMM13 bulguları, yazılım tedarik zincirlerine verilen ilgiyle çoğu kurumsal organizasyonun uygulama güvenliğine risk tabanlı bir yaklaşım benimsediğini gösteriyor. Böyle bir yaklaşım, güvenliğin kod tabanıyla sınırlı olmadığını kabul eder; güvenlik sonuçlarını sürekli iyileştirmek için güvenlik incelemelerinin ve testlerinin ‘her yere kaydığı’ yazılım geliştirme sürecini içerir.” söz konusu Synopsys Software Integrity Group’un genel müdürü Jason Schmitt. “Bulgular ayrıca BSIMM üye kuruluşlarının yazılım güvenliği girişimlerinin olgunlaştığını ve şimdi programlarının ölçeklenebilirliğini, verimliliğini ve genel etkinliğini artırmanın yollarını aradıklarını gösteriyor.”
Synopsys Software Integrity Group tarafından yürütülür, BSIMM13, son 12 ayda üye kuruluşların yazılım güvenliği girişimleri arasında gelişen eğilimleri vurgular:
- Yazılım Tedarik Zinciri Riskini ve SBOM’ların Yükselişini Yönetme
Muhtemelen son zamanlardaki yüksek profilli tedarik zinciri saldırılarının bir sonucu olarak, yazılım tedarik zinciri riskinin yönetilmesi (en yaygın olarak açık kaynaklı yazılımların tanımlanması ve güvence altına alınması yoluyla gerçekleştirilir) BSIMM üye kuruluşları için en önemli öncelik gibi görünmektedir.. BSIMM13, son 12 ayda açık kaynak riskinin kontrol edilmesiyle ilgili faaliyetlerde %51’lik bir artışın yanı sıra, dağıtılan yazılımlarındaki bileşenleri tam olarak kataloglamak için bir Yazılım Malzeme Listesi (SBOM) oluşturan ve sürdüren kuruluşlarda %30’luk bir artış bildirmektedir.
- Güvenliği Geliştirici Araç Zincirlerine Entegre Etme
BSIMM kuruluşları, “her yere kayma” çabalarının bir parçası olarak, son 12 ayda güvenlik seçeneklerini CI/CD ardışık düzenlerine ve geliştirici araç zincirlerine entegre etmede önemli ilerleme kaydetti. BSIMM13 verileri, kuruluşların QA otomasyonuna güvenlik testlerini dahil etmelerini sağlayan faaliyetlerde %48’lik bir büyümeye işaret ediyor.
- Ürünlerin ve Uygulamaların Ötesinde Yazılım Güvenliğini Genişletme
BSIMM13 verileri ayrıca, sürekli iyileştirme için operasyonel verilerden yararlanmaya yönelik faaliyetlerin gözlemleri %95 oranında arttığından, güvenlik ekiplerinin bir uygulama olmayan yazılımları (CI/CD için oluşturulan otomasyon gibi) güvence altına almak için operasyonlarla çalıştığını gösteren faaliyetlerde muazzam bir büyüme olduğunu göstermektedir. son 12 ay.
- Otomatik ve Sürekli Test ile “Her Yerde Kaydırın”
BSIMM13 verileri, BSIMM üye kuruluşlarının %82’sinin artık BSIMM13’te en çok gözlemlenen ilk 10 etkinlik arasında yer alan otomatik kod inceleme araçlarını kullandığını ve bu araçların daha hızlı, artımlı güvenlik testleri gerçekleştirme ve güvenlik açıklarını belirleme yeteneklerini ortaya çıkardığını bildiriyor. SDLC.
Daha fazla bilgi edinmek için, BSIMM13 Trends & Insights raporunu veya verilerin derinlemesine bir analizini sağlayan ve sektöre özel eğilimleri araştıran tam uzunluktaki BSIMM13 Foundations’ı indirin.