关于 BSIMM

帮助应用安全领导者降低软件风险

软件安全构建成熟度模型 (BSIMM) 是一项针对当前软件安全方案或计划开展的研究。BSIMM 量化不同行业、规模和地域的众多组织的应用安全 (appsec) 实践,并识别各个组织独特的差异。

BSIMM 包含:

  • 评估 - 对组织当前的 appsec 计划进行数据驱动的客观评估
  • 会员身份 - 加入一个由安全领域同行组成的社区,该社区提供协作、最佳实践和独家内容
  • 全球会议 - 包括安全领导者进行的主题演讲、社交机会以及技术和实践交流论坛
  • 年度报告(目前是 BSIMM12)- 提供关于实际软件安全计划、实践和活动的数据驱动分析

BSIMM 历史回顾

显然,各组织在 2008 年就开始为实现软件安全而采取各种方法了。Synopsys 软件质量与安全部门的专家们开始收集这些不同方法的相关数据,目的是研究在软件安全方面做得很好的组织,与这些组织的安全专业人员进行面对面的访谈,并发布其研究成果。

从那时起,BSIMM 不断发展壮大,从最初的 9 家参与公司发展到 2021 年的 128 家参与公司,涉及将近 3,000 名软件安全团队成员和 6,000 多名外围小组成员(安全拥护者)。

BSIMM 年度报告(如今已完成了第十二次次迭代)是不断更新的文档,会随着实际观察和分析不断变化和发展。随着开发方法的发展、新威胁的出现以及新安全方法的采用,BSIMM 数据也在不断发展。

关于 BSIMM

我们的使命

BSIMM 旨在量化实际软件安全方案中开展的活动,并且帮助更多的软件安全社区成员规划、实施和衡量自己的方案。

我们的理念

我们知道并非所有组织都必须达到相同的安全目标,但是我们相信所有组织都可以使用同一个测量标尺并从中受益。

我们的方法

BSIMM 使用“唯事实论”的方法,着眼于记录观察结果,分析通过观察获得的数据,并使用通用语言来描述和传达软件安全方案。

我们的优势

通过提供现场的评估数据,BSIMM 能够针对任何软件安全方案制定长期计划,并跟踪计划进度。

我们的模型

BSIMM 模型包括 121 项活动,分为四个领域(管理、情报、安全软件开发生命周期触点和部署)的 12 项实践。

参与公司

BSIMM 的参与公司来自多个垂直行业,包括金融服务、独立软件供应商、科技医疗保健和消费类电子产品行业。自 2008 年以来,我们评估了超过 200 家公司,并且每月都有新公司加入。

我们的受众

BSIMM 可供任何负责创建和执行软件安全方案或计划的人士使用,包括首席信息安全官、开发主管、DevOps 经理、开发人员以及 appsec 负责人和从业人员。

我们的社区

BSIMM 提供一个非公开社区,会员可以与同行交流,还可以通过博客、网络研讨会以及其他独家内容(主要是关于如何在充满挑战的当今商业环境中确保软件安全)获得最佳实践和见解。

我们的会议

BSIMM 全球会议包括安全领导者进行的主题演讲、与同行交流切磋的社交机会以及技术和实践交流论坛。