The Synopsys Software Integrity Group is now Black Duck®. Learn More

通过 BSIMM 提高安全意识和采用

挑战:建立一个植根于安全至上文化的软件安全计划

Genetec 首席安全架构师 Mathieu Chevalier 的任务是从零开始构建软件安全计划。他明白一个事实,那就是他为支持和发展组织安全计划所做的努力,需要一个可信且经过验证的策略。Mathieu 指出,“【他的方法】的主要驱动因素是使用定量方法来制定一个关于重点事项的计划,并向已经采用如此做法的其他人借鉴经验。

在 Mathieu 安全计划之旅的一开始,他很快就将 Genetec 确定为“没有软件安全团队的情况下,在【其】软件安全计划的早期……”。Mathieu 认识到推广和遵守软件安全计划仅依靠政策和实践还远远不够,因此他着手推广优先考虑安全的环境和文化。

Mathieu 面临的关键问题不仅仅是开发该计划,而且还要找到一种方式,以经过验证的方法强化他的策略。从本质上讲,他需要一种方式来验证他的战略决策。他还认识到,有必要培养对其软件安全计划的信任和信念。

解决方案:BSIMM 评估

Genetec 选择进行 BSIMM 评估,以帮助确定潜在增长领域,并清楚地了解其软件安全当前状况。Synopsys 的 Building Security In Maturity Model (BSIMM) 为安全高管提供了用于对当前 AppSec 活动进行测试、评估和基准测试的模型和框架。BSIMM 数据基于金融服务、独立软件供应商、医疗保健和消费电子等许多垂直领域的 130 家组织的安全计划,对 AppSec 的状态提供独特的视角,并为高管在自己组织中实施应考虑的关键活动、实践和工具提供了洞察。

Genetec 于 2016 年 12 月开始与 BSIMM 合作,并在过去五年进行了两次评估。

Mathieu 决定对其组织初始的安全计划进行 BSIMM 评估,这为其提供了重要的第三方见解。使用 BSIMM 数据有助于他的计划“找到容易实现的目标,构建动力,并借此推动变革。虽然 Mathieu 凭借直觉知道需要做什么,但他使用 BSIMM 所提供的数据来评估“所处位置,改进,然后再次评估”。在研究了用于量化其工作的最佳方法之后,Mathieu 发现 BSIMM 满足这一需求。

使用值得信赖的第三方为其工作提供了可靠性和支持,提供了关键指导,也验证了他的针对该计划的决策以及方向。

BSIMM 帮助我们评估产品安全计划,并指导我们朝着正确的方向迈进。对于任何要制定产品安全计划的人而言,这都是一个十分有用的工具。"

Mathieu Chevalier

|

首席安全架构师

结果:安全活动的跨团队支持

Mathieu 意识到仅实施政策不足以支持和维护软件安全计划,因此他邀请了一位关键的 BSIMM 创始人 Gary McGraw 参加了一次内部活动,来构建应用安全的动力。Mathieu 将他从 BSIMM 了解到的安全活动作为一种文化和思维模式,整合到自己的计划中,通过这种方式,Mathieu 将能够确保获得支持和投入。

开发团队已开始要求 Mathieu 与他们合作,确保他们的应用安全、执行威胁建模、审查他们的漏洞并与他们一起制定计划。BSIMM 为 Mathieu 的工作提供验证。使用值得信任的数据驱动型模型,结合自定义安全实践,有助于团队在计划中建立信任和依赖。通过使用 BSIMM 的数据支持模型,他逐步让团队成功地改善了原本的态度立场。然后,他利用这些成功案例,说服其他团队与他一起向前推进。

Genetec 最近进行了第二次评估,希望深入了解其改进情况以及依然有痛点问题的领域。Genetec 向高管和开发团队展示了结果。通过向安全团队以及整个组织展示优势所在,有助于支持今年将实施的新举措。

在此用例中,BSIMM 既联合了团队,又验证了想法。正是通过这种数据和可靠性的结合,BSIMM 发挥了最大的价值;Mathieu 在其计划中凭借该工具,获得了自上而下的支持,以此增强了其安全优先的计划。

Genetec

公司概述

自 1997 年以来,Genetec Inc. 一直为涵盖安全、智能和运营的解决方案组合提供创新技术。其旗舰产品 Genetec™ Security Center 是一个物理安全平台,统一了基于 IP 的视频监控、访问控制、自动车牌识别、通信和分析。Genetec 还开发基于云的解决方案和服务,旨在提高物理安全,并为政府、企业和我们生活的社区提供新的运营智能水平。要了解更多有关 Genetec 的信息,请单击此处

了解更多关于 Genetec 的信息。

更多资源