【51CTO.com原創稿件】2019年10月23日，新思科技(Synopsys)發布最新版本的軟件安全構建成熟度模型(BSIMM)——BSIMM10，該模型旨在幫助企業規劃、執行、完善和評估其軟件安全計劃(SSIs)。在媒體溝通會現場，新思科技軟件質量與安全部門高級安全架構師楊國梁接受了記者的采訪，分享了BSIMM10研發和應用過程中的諸多故事。

[[280527]]

　　“任何軟件安全計劃要想真正發揮作用，都必須確定需要關注的適當活動以及應當由誰負責執行這些活動，這是軟件安全計劃的重要環節。新思科技軟件安全構建成熟度模型(BSIMM)是對現實世界中軟件安全計劃開展多年研究的結果，是衡量軟件是否安全的標尺。”楊國梁介紹道，在過去的十年里，新思科技采用BSIMM對185家公司進行了約450次評估，第十個版本反映出觀察到的122家公司的軟件安全活動。BSIMM10還強調了DevOps對軟件安全計劃的影響、工程導向的安全工作的新浪潮以及公司如何在軟件安全成熟度的三個階段前行。

　　據他透露，BSIMM10描述了7,900名軟件安全專家的工作成果，這些成果對參與超過17.3萬應用程序開發工作的47萬名開發人員有指導作用。BSIMM10代表的公司來自垂直行業，包括金融服務、高科技、獨立軟件供應商(ISVs)、云、醫療保健、物聯網、保險及零售業。

　　“在中國，BSIMM10將會提供通用版的服務，不僅通過觀察122家企業的軟件安全活動，得出所有企業的平均蛛網圖，從而幫助企業規劃、執行、完善和評估其軟件安全計劃。同時由于每個行業特色不同，BSIMM10對以上垂直行業也進行了一些分析。在不同行業的版本中，所得到蜘蛛圖可用于比較來自特定垂直行業的一組公司，行業不同，得分不同，蛛網圖也不同。。例如金融行業，由于政策監管非常嚴格，所以在合規性這個標準方面起點就會比較高，那在這個方面可能金融行業得分就相對高一些。” 楊國梁表示，對于之前已經使用BSIMM前版本的用戶，如果客戶有需求，新思科技也會提供更為詳盡的服務，幫助用戶加速數字化轉型的步伐。

　　記者了解到，BSIMM10報告中有三點發現更值得關注：

　　一是DevOps對軟件安全的影響。BSIMM數據顯示DevOps的發展以及持續集成和持續交付(CI/CD)工具正在影響公司實現軟件安全性的方式。這在BSIMM新增的三個活動中可以看出，新的活動反映了公司如何積極致力使安全活動自動化，來配合將業務功能推向市場的速度。BSIMM10也包括更新的描述和現有活動的示例，以反映這些活動如何作為現代DevOps組織實施的一部分。

　　二是工程導向的安全文化的新浪潮。BSIMM10正式反映了SSI文化發生變化的研究，工程主導的軟件安全工作是由開發和運營團隊自下而上驅動的，而不像在集中式軟件安全小組自上而下。在一些組織中，工程主導的安全文化克服了建立和發展有意義的軟件安全工作的困難。工程導向的安全文化新浪潮的出現，是應對諸如敏捷和DevOps之類的現代軟件交付實踐的需求以及現有SSIs不希望產生的摩擦。

　　三是建議公司采用BSIMM來為其軟件安全旅程導航。BSIMM10定義了SSI成熟度三個階段(興起、發展和優化)的版本，并且描述了不同公司通常如何通過它們發展。BSIMM數據顯示，隨著時間的推移，企業得到了明顯改進，許多企業均已達到了一定的成熟度，以至于他們開始關注活動的深度、廣度和規模，而不是總想著增加活動數量。

　　眾所周知，領導一個有效的軟件安全計劃是富有挑戰性的，而DevOps和CI/CD帶來的巨大技術和組織變革并沒有使這項任務變得更加容易。作為不斷發展以反映全球數百個軟件安全小組的經驗的工具，無論企業是剛剛開始軟件安全旅程，尋求優化程序或者應對新的挑戰，BSIMM以及社區都是寶貴的資源。

　　如果您對此內容感興趣，歡迎復制以下鏈接，下載BSIMM10報告：

　　www.bsimm.com/zh-cn/download.html

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】