For å feire sikkerhetsmåneden har Synopsys nettopp gitt ut siste versjon av BSIMM-rapporten – vi er nå oppe i BSIMM9.Denne rapporten inneholder data fra 120 virksomheter, og dokumenterer 116 forskjellige aktiviteter som bidrar til bedre programvaresikkerhet. To aktiviteter har blitt dyttet oppover (SM2.5 har blitt SM3.3, og SR2.6 har blir SR3.3), og tre nye aktiviteter har sett dagens lys:
[SE3.5] Bruk orkestrering for containere og virtualiserte miljøer
Virksomheten bruker automatisering for å skalere utrulling av containere og virtuelle maskiner på en disiplinert måte. Orkestreringsprosesser drar fordel av innebygde og ettermonterte sikkerhetsmekanismer for å sørge for at hver utrullede container og virtuelle maskin tilfredsstiller forhåndsbestemte sikkerhetskrav. Ved å angi sikkerhetsoppførsel på en aggregert måte tillater man hurtige endringer når behovet oppstår. Orkestreringsplattformer er selvfølgelig også programvare som på sin side krever sikkerhetsoppdateringer og konfigurasjon. Hvis du bruker Kubernetes, sørg for at du oppdaterer Kubernetes.
[SE3.6] Forbedre applikasjonsoversikt med operasjons-stykkliste
En liste av applikasjoner og deres plassering i produksjonsmiljøer er avgjørende informasjon for enhver veldrevet virksomhet (se [CMVM2.3]). I tillegg vil et manifest som detaljerer komponenter, avhengigheter, konfigurasjoner, eksterne tjenester, osv. for all produksjonsprogramvare gjøre virksomheter i stand til å sikre alle tingene, dvs. å reagere med smidighet ettersom angripere og angrep utvikler seg, regulatoriske krav endrer seg, og antallet enheter som må oppdateres vokser til nye høyder. Oversikt over alle komponenter som finnes i kjørende programvare – enten de er i private datasentre, i skyer, eller solgt som bokser – gjør det mulig å respondere innen rimelig tid når uheldige hendelser inntreffer.
[SE3.7] Sørg for grunnleggende skysikkerhet
Du har selvfølgelig stålkontroll på grunnleggende sikkerhetsmekanismer i datamaskiner og nettverk (se [SE1.2]), men noen må sørge for at grunnleggende sikkerhetskrav oppfylles i skyen også. Etter som verden blir mer og mer “programvaredefinert”, må du eksplisitt implementere sikkerhetsmekanismer og kontrollmekanismer (noen av disse kan være innebygd) i skyen minst like godt som de som bygges med kabler og fysisk maskinvare. Ingenting er så automatisk som det kan virke.
Jeg har nå også oppdatert BSIMM på norsk slik at den dekker BSIMM9!
Hele BSIMM-rapporten kan lastes ned fra http://www.bsimm.com
BSIMM er lisensiert under følgende Creative Commons lisens: Navngivelse-DelPåSammeVilkår 3.0 Norge. For å se en kopi av denne lisensen, besøk http://creativecommons.org/licenses/by-sa/3.0/no/