内置安全成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。
BSIMM 既不是操作指南,也不是通用的指导方案。相反, 它是对软件安全的反映。
关于 BSIMM
在软件安全中引进科技
BSIMM 历史回顾
显而易见,各组织在 2006 年都各显神通,实现了软件安全性。Synopsys 软件完整性小组(当时称为“Cigital”)着手收集这一现象的相关数据,用来分析拥有先进软件安全计划 (SSI) 的公司如何应对保护软件安全性的挑战。
研究团队联系了在软件安全领域处于领先地位的 9 家公司。他们通过面谈收集基线数据,对每个组织的软件安全小组 (SSG) 和在实际中从事相关工作的人员,就其日常工作流程进行了深入探讨。
面谈的成果汇总为一个描述性模型,呈现了在这些数据中所得的发现,从而为组织提供了软件安全活动的基线。此外,这一模型 还会随着安全形势的日益复杂和愈发重要而不断发展变化。该小组不仅向新加入社区的组织,而且还向安全计划臻于成熟的成员收集新数据并加以分析。
当前的数据池中已囊括 100 多个组织,使得 BSIMM 成为一份真正的实时文档,能够随着我们的观察和分析不断进行变化。随着开发方法的发展、新威胁的出现以及安全方法的采用,BSIMM 也在逐步改进。
已发布的 BSIMM 报告,其价值立竿见影,加入进来的组织希望见面交流经验。由此诞生了 BSIMM 社区,而每年的 BSIMM 大会则被设想成为一个场所,供社区内的成员坦诚交换意见和互相学习。
如今 BSIMM 已完成第十次迭代,它将继续充当所有软件安全参与者的重要资源。
我们要做什么
我们的使命
量化实际软件安全计划开展的活动,帮助更广大的软件安全社区计划、实施和衡量自己的计划。
我们的理念
我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以从使用同一个测量标杆中受益。
我们的方法
为了创建我们的描述性模型,我们使用“只有事实”的方法,只关注报告观察结果。
BSIMM 历史回顾
我们的受众
BSIMM 可供负责创建和执行软件安全计划的任何人使用。
我们的社区
成为会员 ,加入私人团体,与其他面临相同问题的人士探讨解决方案和战略。
我们的支持机构
BSIMM 数据由 Synopsys 采集。数据分析资源由 Oracle 提供。
BSIMM 首要活动
