关于 BSIMM

在软件安全中引进科技

软件安全构建成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全计划开展的研究。通过量化许多不同组织的实践,我们可以描述许多公司分享的共同点,也可以描述其各自独特的变化。

BSIMM 既不是操作指南,也不是通用的指导方案。相反,它是对软件安全的反映。

BSIMM 历史回顾

BSIMM 迄今已经历八个迭代。但是它的发起动机是什么?

一切皆始于 2006 年前后,当时有众多软件安全方法像雨后春笋一般涌现。Synopsys Software Integrity Group(当时隶属 Cigital)的 Gary McGraw 和 Sammy Migues 注意到,这些方法有一个重要的共同点——它们都是基于想法,而非事实。

Gary 和 Sammy,以及 Brian Chess(当时就职于 Fortify)在就解决方法争论了一段时间之后,开始开发一种描述性模型,说明软件安全人员实际在做什么,而不是他们“应该做什么”。

首先,Gary、Sammy 和 Brian 选择了九家在软件安全方面非常先进的公司作为其科学研究的一部分。三人经过长途飞行后,花费大量工时收集数据,进行了一系列面对面的访谈,并开发了描述数据的模型。这项工作诞生了 2009 年发布的第一代 BSIMM。

BSIMM 采用的原始数据驱动的描述性方法具有适应性,因而 BSIMM 能够经过多年调整,以符合数据规格。总体而言,该模型历经了八个迭代,却始终保持稳定。模型的用途同样始终保持不变:软件安全计划发生了什么,而非仅仅基于想法规定“应该发生”什么。

我们要做什么

我们的使命

量化实际软件安全计划开展的活动,帮助更广大的软件安全社区计划、实施和衡量自己的计划。

我们的理念

我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以从使用同一个测量标杆中受益。

我们的方法

为了创建我们的描述性模型,我们使用“只有事实”的方法,只关注报告观察结果。

我们的优势

通过提供现场产生的实际测量数据,BSIMM 能够针对软件安全计划制定一份长期计划,并跟踪计划进度。

我们的模型

我们的模型包含 116 项划分为四个域的活动:治理情报SSDL 触点部署

我们的公司

有 120 家公司参与 BSIMM 研究。他们来自各行各业,包括金融服务、独立软件供应商、科技、医疗保健和消费类电子产品行业。我们采用 BSIMM 测量了超过 167 家公司,并且每月还会增加新公司。

BSIMM 历史回顾

我们的受众

BSIMM 可供负责创建和执行软件安全计划的任何人使用。

我们的社区

成为会员,加入私人团体,与其他面临相同问题的人士探讨解决方案和战略。

我们的支持机构

BSIMM 数据由 Synopsys 采集。数据分析资源由 NetSuite 提供。

BSIMM 首要活动

确定在操作监控中发现的软件缺陷,并反馈给开发部门
使用外部渗透测试机构查找问题
确保主机和网络安全基础功能就绪
执行安全功能审查
确保 QA 支持边缘/边界值条件测试
确定门的位置并收集必要工件
构建并发布安全功能
确定 PII 责任
提供意识培训
创建安全门户
让SSG进行临时审查
创建数据分类方案和库存