关于 BSIMM

在软件安全中引进科技

内置安全成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。

BSIMM 既不是操作指南,也不是通用的指导方案。相反, 它是对软件安全的反映。

BSIMM 历史回顾

显而易见,各组织在 2006 年都各显神通,实现了软件安全性。Synopsys 软件完整性小组(当时称为“Cigital”)着手收集这一现象的相关数据,用来分析拥有先进软件安全计划 (SSI) 的公司如何应对保护软件安全性的挑战。

研究团队联系了在软件安全领域处于领先地位的 9 家公司。他们通过面谈收集基线数据,对每个组织的软件安全小组 (SSG) 和在实际中从事相关工作的人员,就其日常工作流程进行了深入探讨。

面谈的成果汇总为一个描述性模型,呈现了在这些数据中所得的发现,从而为组织提供了软件安全活动的基线。此外,这一模型 还会随着安全形势的日益复杂和愈发重要而不断发展变化。该小组不仅向新加入社区的组织,而且还向安全计划臻于成熟的成员收集新数据并加以分析。

当前的数据池中已囊括 100 多个组织,使得 BSIMM 成为一份真正的实时文档,能够随着我们的观察和分析不断进行变化。随着开发方法的发展、新威胁的出现以及安全方法的采用,BSIMM 也在逐步改进。

已发布的 BSIMM 报告,其价值立竿见影,加入进来的组织希望见面交流经验。由此诞生了 BSIMM 社区,而每年的 BSIMM 大会则被设想成为一个场所,供社区内的成员坦诚交换意见和互相学习。

如今 BSIMM 已完成第十次迭代,它将继续充当所有软件安全参与者的重要资源。

我们要做什么

我们的使命

量化实际软件安全计划开展的活动,帮助更广大的软件安全社区计划、实施和衡量自己的计划。

我们的理念

我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以从使用同一个测量标杆中受益。

我们的方法

为了创建我们的描述性模型,我们使用“只有事实”的方法,只关注报告观察结果。

我们的优势

通过提供现场产生的实际测量数据,BSIMM 能够针对软件安全计划制定一份长期计划,并跟踪计划进度。

我们的模型

我们的 模型 包含 119 项划分为四个域的活动: 治理、 情报、 SSDL 触点 和 部署

我们的公司

有  122 家公司参与 BSIMM 研究。他们来自各行各业,包括金融服务、独立软件供应商、科技、医疗保健和消费类电子产品行业。我们采用 BSIMM 测量了超过 185 家公司,并且每月还会增加新公司。

BSIMM 历史回顾

我们的受众

BSIMM 可供负责创建和执行软件安全计划的任何人使用。

我们的社区

成为会员 ,加入私人团体,与其他面临相同问题的人士探讨解决方案和战略。

我们的支持机构

BSIMM 数据由 Synopsys 采集。数据分析资源由 Oracle 提供。

BSIMM 首要活动

确保主机和网络安全基础功能就绪。
使用外部渗透测试机构查找问题。
确定关卡的位置;收集必要工件。
确定 PII 责任。
执行安全功能审查。
创建或联合事件响应职能。
确定在操作监控中发现的软件安全缺陷并反馈给开发部门。
确保 QA 支持边缘/边界值条件测试。
构建并发布安全功能。
向缺陷管理和削减系统反馈结果。
拥有应急代码库响应措施。
通过固定流程追踪在操作中发现的软件缺陷。