datasheet

新思科技BSIMM9发布,带你了解一下BSIMM

2018-10-29来源: EEWORLD 关键字:新思科技  BSIMM

不久前,新思科技全球总裁兼联席CEO陈志宽在出席新思科技武汉研发中心封顶仪式上特别强调,新思科技一直布局在芯片自动化设计解决方案(EDA工具)、芯片IP和信息安全和软件质量三部分。


2017年新思科技年收入为27亿美元,这其中有4亿多美元的收入来自系统软件,安全软件以成为新思科技不可或缺的一部分。


在年初发布的《Gartner魔力象限应用安全测试》报告中,新思已经连续两年被评为 (AST Application Security Testing应用安全测试)领域的“领导者”。


2015年新思科技收购Codenomicon,标志着公司开始真正进入软件质量领域。应该是这家公司真正注重 Software Integrity 平台的开端,Codenomicon最早发现了著名的心血漏洞(Heartbleed)。再加上新思科技此前或此后陆续收购的Coverity、Quotium、Cigital、Codiscope、Black Duck等公司,从而构建了一整套针对软件安全和质量的工具和服务体系,提供了完整的自动化测试工具链,包括计划、设计到最终的发布及响应等全流程产品服务。



近日,新思举行BSIMM9发布会,新思软件质量与安全部门管理顾问Olli Jarva与高级安全架构师杨国梁一同介绍了BSIMM9,从新思科技对于BSIMM的持续投入,我们一方面可以看到新思科技不断关注软件安全的态度,同时也可以看到国内外厂商对于软件质量与安全的重视与日俱增。



新思软件质量与安全部门高级安全架构师杨国梁



新思软件质量与安全部门管理顾问Olli Jarva


从BSIMM谈起


BSIMM(Build Security in Maturity Model)最初由Cigital于2008年构建,这是个软件安全衡量框架,用于评估其当前状态衡量软件安全实施(SSI)有效性的方案。


2008年时,并没有类似BSIMM这类的描述性模型,表征公司信息安全状态。所以在当初,Cigital和9家在信息安全领域靠前的公司合作,通过细致的面对面访谈,做成了成熟的模型。为企业制定了4个领域(治理、情报、触点、部署),12个方面以及116项事件,对企业的各个方面进行评估——包括代码检查、安全测试、员工安全意识等各个方面。通过划分成具体的表格,帮助企业更客观地帮助企业找到自己在安全开发模型中的位置,更能帮助企业在整个行业的安全实践中找到位置。另一方面,在企业完成评估后,新思科技也会根据BSIMM的评估报告,为企业在更好的安全策略计划方面,进行一些帮助——不仅仅是在地图上标示出方位,更是引导企业走上正确的路线。



Jarva表示,软件设计的功能安全性,不光要体现在后续的测试和防火墙上,在前期设计中就会引入大量问题,同时到了实施阶段也需要考虑,所以安全性是贯彻软件开发始终的要求。安全性主要由两方面引起,分别是漏洞和缺陷,目前这两者各占安全影响因素的一半。


“软件安全和软件质量一样,需要从架构分析、建模等前期规划下就开始执行,不能完全指望测试工具或第三方来解决,必须要把安全考量深度融入到软件开发周期(SDLC)中。”Jarva说道。


Jarva表示,从2006年开始,企业在软件开发周期中越来越重视安全问题,也出现了很多第三方的安全模型。目前安全模型分为两个方向,一种是规定性模型,一种是描述性模型。对于规定性模型来讲,就好像医院的处方一样,告诉你应该怎么做,比如SAFECode、SAMM、SDL、Touchpoints等产品。而BSIMM作为评估工具则是通过描述实际发生了什么,因此可以测量任意数量的规范性SSDLs。“BSIMM并不会告诉你针对软件安全该怎么做,只是客观描述现实世界每家公司所做的工作。”Jarva表示。


“没有一片雪花是特殊的。”Jarva解释道,“在微观中,每片雪花都有所不同,但是放到宏观中都是一样的,安全也是如此,尽管不同企业不同行业开展信息安全行动的细枝末节都不相同,但BSIMM都可以进行评估。”


BSIMM9 发布


十年下来,BSIMM已经累计服务了167家公司,此次发布的BSIMM9报告参与公司达120家,BSIMM8则为109家,累计评估数为389次,其中有42家公司接受过2次及以上评估。


目前BSIMM9已经公开下载,下载地址为https://www.bsimm.com/zh-cn/download.html,报告作者为SYNOPSYS公司安全技术副总裁Gary McGraw博士,SYNOPSYS首席科学家Sammy Migues以及ORACLE公司云计算运营副总裁Jacob West。


只要下载看一次BSIMM9,便可轻松看到目前的安全策略。所以Jarva只总结了几点关于BSIMM9的改动及趋势等。


云计算转型:BSIMM模型中增加了三项新活动,它们清楚地表明云端软件安全正在成为主流。此外,在独立软件供应商、物联网公司以及云计算公司(我们最独特的三个垂直行业)中所观察到的活动已经开始趋同,这表明通用云架构需要类似的软件安全方法。


零售业:BSIMM数据池中出现一个新的垂直行业。随着专注于电子商务的新模式成为维持业务顺利发展的关键,软件安全计划正在相对快速地成熟。


群体增长:BSIMM现在涵盖来自120家企业的数据;它所涵盖的开发人员数量增长了43%,其评估的软件安全从业人员数量增长了65%。


BSIMM的评估结果非常直观,会根据蛛网图和具体的得分卡,让公司决策者可以很直观的看出自己企业所处的地位,检验之前的投资结果,并且判断出下一阶段的安全投资方向。





如图所示,通过得分卡和蛛网图,企业可以清晰看到自己在软件安全上所处的地位,同时,客户或者供应商也可以简单明了看到企业的评估,减少沟通误差。


Jarva表示:“BSIMM会员沟通采用线上线下结合的方式,在北美RSA安全大会上每年都会召集BSIMM会员讨论,平时也会通过定期通讯,线上线下研讨会等方式进行交流。”


BSIMM真的有这么好吗?


杨国梁表示BSIMM本身非常开放,愿意接受所有申请客户,但有几点要求,首先是公司应该想好加入BSIMM的原因,是被客户要求的还是公司本身想做好软件安全,第二则是需要有一套切实可行的软件安全计划才有可能进行评估,比如要有SSG角色等基础,不然无法进行评估。


杨国梁介绍道,目前中国的华为和大华都加入了BSIMM,而更多的公司出于各种原因选择匿名,但实际上中国客户不止这两家。


谈到BSIMM的好处,可以参考此前华为和新思联合的发言稿。


华为网络安全与用户隐私业务管理部安全设计主管杨光磊表示,从这几年BSIMM评估的结果来看,华为在很多领域得到了比较明显的提升:


培训领域:一开始评估,华为的安全培训只是零星的开展,没有形成课程和培训体系,相关活动基本没有得分。经过一两年建设,开展了绝大多数活动,培训获得3分;


战略和指标:华为参考业界实践,建立了SDP Track平台(Security Development Platform),对产品安全开发流程中的各个安全活动进行管理,跟踪和了解各个安全活动的数据和状态。在2017年评估中得到了认可;


代码检视:以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描,所有产品使用统一规则。通过改进,将不同类型产品安全编码检查规则嵌入到开发环境中,量身定制的规则和自动化工具做了结合,发现了一些过去没发现的问题。


经过五年BSIMM评估,华为整个软件开发生命周期(SDLC)的安全成熟得到提高。根据最新的BSIMM评估,在BSIMM框架实践中,华为超过了全球行业平均标准。例如,华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。在整个云产品开发过程中,华为不断进行相应的设计安全措施,保证云基础设施尽量少造成因为漏洞而引起的服务中断,或者服务中止,而给客户带来损失。


浙江大华技术股份有限公司网络安全产品线总监张军昌此前接受媒体采访时也表示:“在抵御传统威胁方面,国际上已经有很多比较好的做法和经验,比如使用BSIMM、OpenSAMM这些安全成熟度模型来衡量和演进安全体系,使用sSDLc来管理控制产品安全性。业界在安全细分领域有着较为先进的研究成果和经验,然而随着时代的发展,新兴技术的不断涌现,传统的信息安全也受到了极大的冲击和挑战,面对传统威胁与新技术新威胁的不断碰撞与交织,我们需要用更加开放、合作的模式来迎接新挑战。”


杨国梁和Olli最后也都表达了欢迎更多中国公司加入BSIMM,无论是金融服务、独立软件供应商(ISVs),云、医疗卫生、物联网、保险及零售业等对安全领域尤为看重的企业。

关键字:新思科技  BSIMM

编辑:冀凯 引用地址:http://www.eeworld.com.cn/qrs/2018/ic-news102951938.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:五年内AI营收占40%!比特大陆被低估的AI雄心
下一篇:最后一页

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

TSMC与新思科技合作为TSMC WoW和CoWoS封装技术提供设计流程

重点:新思科技Design Platform支持TSMC WoW直接堆叠和CoWoS技术。解决方案包括多裸晶芯片和中介层(Interposer)的版图实现、寄生参数提取和时序分析以及物理验证。参考流程使早期客户能够充分发挥3D-IC的潜力,实现高性能、低功耗应用。 新思科技(Synopsys, Inc.,纳斯达克股票市场代码: SNPS)宣布,新思科技Design Platform全面支持TSMC WoW直接堆叠和 CoWoS®先进封装技术。Design Platform支持与3D IC参考流程相结合,帮助用户在移动计算、网络通信、消费和汽车电子等应用中部署高性能、高连接性的多裸晶芯片技术。新思科技Design
发表于 2018-10-26

论云转型的影响和软件安全社区的发展的重要性—新思科技

新思科技发布最新版的软件安全构建成熟度模型BSIMM9 报告剖析了120家企业在过去10年的软件安全计划突出了云转型的影响和软件安全社区的发展 新思科技公司发布其最新版本的软件安全构建成熟度模型——BSIMM9。该模型旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM9是软件安全构建成熟度模型(BSIMM)的第九个版本,收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展,并且在数据库中纳入了新的垂直行业 - 零售业。甲骨文公司旗下云ERP系统NetSuite基础设施和安全高级副总裁Brian Chess博士表示:开发、安全和运营团队需要步调一致
发表于 2018-10-26

新思科技数字与定制设计平台通过TSMC 5nm EUV工艺技术认证

;     具有先进仿真解决方案的新思科技定制设计平台支持最新5nm设计规则和FinFET器件模型。 新思科技(Synopsys, Inc.,纳斯达克股票市场代码: SNPS)宣布,新思科技数字和定制设计平台通过了TSMC最先进的5nm EUV工艺技术认证。该认证是多年广泛合作的结果,旨在提供更优化的设计解决方案,加快下一代设计的发展进程。 Design Compiler® Graphical综合工具经过了严格的5nm启用验证,并证明了与IC Compiler™ II布局布线工具在时序、面积、功耗和布线拥塞方面的相关一致性。Design Compiler Graphical
发表于 2018-10-24

降低功耗和成本,用于iSIM的全新新思科技 tRoot HSM问市

具有信任根的DesignWare tRoot HSM IP为设计人员提供可信赖的执行环境,能够保护敏感信息和数据处理。  用于iSIM的全新DesignWare tRoot HSM IP集成Truphone软件,可实现安全的无线远程配置和操作系统更新。   获得GSMA认证的Truphone Io3平台向设备制造商和网络运营商提供对iSIM设备生命周期的完全控制。 从分立SIM卡迁移到嵌入式iSIM解决方案,可以减少面积、功耗和成本。 新思科技(Synopsys, Inc.,纳斯达克股票市场代码: SNPS)宣布,将Truphone嵌入式SIM(eUICC)软件整合
发表于 2018-10-24

新思科技出支持TSMC 7nm FinFET工艺技术的汽车级IP

重点:●基于7nm工艺技术的控制器和PHY IP具有丰富的产品组合,包括LPDDR4X、MIPI CSI-2、D-PHY、PCI Express 4.0以及安全IP。●IP解决方案支持TSMC 7nm工艺技术所需的先进汽车设计规则,满足可靠性和15年汽车运行要求。● ISO 26262 ASIL Ready IP包含安全包、FMEDA报告及安全手册,以加速芯片功能安全评估。 2018年10月18日,中国 北京——新思科技(Synopsys, Inc.,纳斯达克股票市场代码: SNPS)宣布,推出支持TSMC 7nm FinFET工艺技术的汽车级DesignWare®Controller和PHY IP
发表于 2018-10-18

新思科技Fusion技术为AI芯片设计带来卓越优势

·        新思科技全面的数字和定制设计流程,通过使用专为人工智能优化的关键技术,提供同类最佳的设计实现质量(QoR)和最短的设计收敛时间(TTR)。 ·        符合标准的HDMI 2.1 IP可提供48 Gbps聚合带宽,在60 Hz刷新率条件下实现无压缩8K分辨率,以满足高性能设计要求。 ·        新思科技成功支持了大量的并行、以图形为中心的片上系统(SoC)芯片设计,其中包含
发表于 2018-09-29

小广播

何立民专栏

单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved