关于 BSIMM

在软件安全中引进科学

软件安全构建成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全方案开展的研究。通过量化许多不同组织的实践,BSIMM 可以描述许多公司的共同点,也可以描述其各自独特的差异。

BSIMM 既不是操作指南,也不是通用的指导方案。 它是对软件安全的反映。

BSIMM 历史回顾

显而易见,各组织在 2006 年就开始为实现软件的安全采取不同的方法了。Synopsys 软件质量与安全部门(当时称为“Cigital”)的专家们开始收集这一现象的相关数据,用来分析拥有先进软件安全方案 (SSI) 的公司是如何应对保护软件安全性的挑战的。

研究团队联系了在软件安全领域处于领先地位的 9 家公司。他们通过访谈收集基线数据,对每个组织的软件安全部门 (SSG) 和在实际中从事相关工作的人员,就其日常工作流程进行了深入探讨。

访谈的结果汇总为一个描述性的模型,展示了在这些数据中的发现,从而为组织提供了软件安全活动的基线。此外,该模型 一直随着软件安全形势的日益复杂和愈发重要而不断发展变化。研究团队收集新加入社区的组织和安全计划日趋成熟的组织的数据,并加以分析。

当前的数据池中已包含了 100 多个组织,使得 BSIMM 成为一份真正的实时文档,能够随着我们的观察和分析不断进行变化。随着开发方法的发展、新威胁的出现以及新安全方法的采用,BSIMM 也在不断发展。

BSIMM 报告的发布立刻带来了价值,参与其中的组织希望能够见面并交流相关经验。由此诞生了 BSIMM 社区,而每年的 BSIMM 大会就成了供社区内的成员坦诚交换意见和互相学习的场所。

如今 BSIMM 已完成了第十一次迭代,它将继续充当所有软件软件安全参与者的重要资源。

关于我们

我们的使命

我们的使命是量化实际软件安全方案中开展的活动,并且帮助更多的软件安全社区成员来计划、实施和衡量自己的方案。

我们的理念

我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以可以使用同一个测量标尺并从中受益。

我们的方法

为了创建我们的描述性模型,我们使用“唯事实论”的方法,只关注报告观察的结果。

我们的优势

通过提供现场的实际评估数据,BSIMM 能够针对软件安全方案制定一份长期方案,并跟踪计划进度。

我们的模型

我们的 模型 包括 121 项活动,分为四个领域: 

参与公司

有  130 家公司参与 BSIMM 评估。他们来自各行各业,包括金融服务、独立软件供应商、科技、医疗保健和消费类电子产品行业。我们采用 BSIMM 评估了超过 200 家公司,并且每月都在增加新公司。

BSIMM 历史回顾

我们的受众

BSIMM 可供任何负责创建和执行软件安全方案的人士使用。

我们的社区

成为非公开社区的会员 ,与其他面临相同安全问题的人士一切探讨解决方案和战略。

我们的支持机构

BSIMM  数据由 Synopsys 采集。 

BSIMM 常见活动

确保主机和网络安全基础功能就位
实施生命周期管理
开展安全功能审查
聘请外部渗透测试人员来查找问题
识别个人身份信息 (PII) 责任
执行安全功能审查。
创建事件响应机制或者与事件响应团队交流
确保 QA 执行边缘/边界值条件测试
集成并交付安全性功能
通过运维监控发现软件缺陷并将其反馈给开发团队
并行使用自动化工具和人工审查
向缺陷管理和削减系统反馈结果
把结果反馈至缺陷管理和修复缓解系统中