内置安全成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。
BSIMM 既不是操作指南,也不是通用的指导方案。相反, 它是对软件安全的反映。
内置安全成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。
BSIMM 既不是操作指南,也不是通用的指导方案。相反, 它是对软件安全的反映。
显而易见,各组织在 2006 年都各显神通,实现了软件安全性。Synopsys 软件完整性小组(当时称为“Cigital”)着手收集这一现象的相关数据,用来分析拥有先进软件安全计划 (SSI) 的公司如何应对保护软件安全性的挑战。
研究团队联系了在软件安全领域处于领先地位的 9 家公司。他们通过面谈收集基线数据,对每个组织的软件安全小组 (SSG) 和在实际中从事相关工作的人员,就其日常工作流程进行了深入探讨。
面谈的成果汇总为一个描述性模型,呈现了在这些数据中所得的发现,从而为组织提供了软件安全活动的基线。此外,这一模型 还会随着安全形势的日益复杂和愈发重要而不断发展变化。该小组不仅向新加入社区的组织,而且还向安全计划臻于成熟的成员收集新数据并加以分析。
当前的数据池中已囊括 100 多个组织,使得 BSIMM 成为一份真正的实时文档,能够随着我们的观察和分析不断进行变化。随着开发方法的发展、新威胁的出现以及安全方法的采用,BSIMM 也在逐步改进。
已发布的 BSIMM 报告,其价值立竿见影,加入进来的组织希望见面交流经验。由此诞生了 BSIMM 社区,而每年的 BSIMM 大会则被设想成为一个场所,供社区内的成员坦诚交换意见和互相学习。
如今 BSIMM 已完成第十次迭代,它将继续充当所有软件安全参与者的重要资源。
量化实际软件安全计划开展的活动,帮助更广大的软件安全社区计划、实施和衡量自己的计划。
我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以从使用同一个测量标杆中受益。
为了创建我们的描述性模型,我们使用“只有事实”的方法,只关注报告观察结果。
BSIMM 可供负责创建和执行软件安全计划的任何人使用。
成为会员 ,加入私人团体,与其他面临相同问题的人士探讨解决方案和战略。
BSIMM 数据由 Synopsys 采集。数据分析资源由 Oracle 提供。