软件安全构建成熟度模型(BSIMM,读作“bee simm”)是一份针对现有软件安全方案开展的研究。通过量化许多不同组织的实践,BSIMM 可以描述许多公司的共同点,也可以描述其各自独特的差异。
BSIMM 既不是操作指南,也不是通用的指导方案。 它是对软件安全的反映。
关于 BSIMM
在软件安全中引进科学
BSIMM 历史回顾
显而易见,各组织在 2006 年就开始为实现软件的安全采取不同的方法了。Synopsys 软件质量与安全部门(当时称为“Cigital”)的专家们开始收集这一现象的相关数据,用来分析拥有先进软件安全方案 (SSI) 的公司是如何应对保护软件安全性的挑战的。
研究团队联系了在软件安全领域处于领先地位的 9 家公司。他们通过访谈收集基线数据,对每个组织的软件安全部门 (SSG) 和在实际中从事相关工作的人员,就其日常工作流程进行了深入探讨。
访谈的结果汇总为一个描述性的模型,展示了在这些数据中的发现,从而为组织提供了软件安全活动的基线。此外,该模型 一直随着软件安全形势的日益复杂和愈发重要而不断发展变化。研究团队收集新加入社区的组织和安全计划日趋成熟的组织的数据,并加以分析。
当前的数据池中已包含了 100 多个组织,使得 BSIMM 成为一份真正的实时文档,能够随着我们的观察和分析不断进行变化。随着开发方法的发展、新威胁的出现以及新安全方法的采用,BSIMM 也在不断发展。
BSIMM 报告的发布立刻带来了价值,参与其中的组织希望能够见面并交流相关经验。由此诞生了 BSIMM 社区,而每年的 BSIMM 大会就成了供社区内的成员坦诚交换意见和互相学习的场所。
如今 BSIMM 已完成了第十一次迭代,它将继续充当所有软件软件安全参与者的重要资源。
关于我们
我们的使命
我们的使命是量化实际软件安全方案中开展的活动,并且帮助更多的软件安全社区成员来计划、实施和衡量自己的方案。
我们的理念
我们知道并非所有组织都需要达到相同的安全目标,但是我们相信所有组织都可以可以使用同一个测量标尺并从中受益。
我们的方法
为了创建我们的描述性模型,我们使用“唯事实论”的方法,只关注报告观察的结果。
BSIMM 历史回顾
我们的受众
BSIMM 可供任何负责创建和执行软件安全方案的人士使用。
我们的社区
成为非公开社区的会员 ,与其他面临相同安全问题的人士一切探讨解决方案和战略。
我们的支持机构
BSIMM 数据由 Synopsys 采集。
BSIMM 常见活动
