（赵法彬/数字通信世界）为了全面解决安全和质量问题，端到端的软件安全领导者新思科技（Synopsys, Inc.）依靠卓越的软件安全和质量专业知识，在10年前推出了软件安全构建成熟度模型（BSIMM），并且每年都在对新版本不断更新完善，最新版本BSIMM10不久前正式问世，该公司软件质量与安全部门高级安全架构师杨国梁先生对其进行了解读。

杨国梁

为什么需要BSIMM
杨国梁说，新思科技认为以下事实是不言而喻的：一手软件安全远不止是一组安全功能而已；二是软件设计的非功能性方面同样至关重要；三是漏洞和缺陷占比为50/50；四是安全性是整个系统的天然特质（正如质量，性能等特质一样）；五是敏捷、CI/CD和DevOps既不是软件不安全的原因，也不是解决方案；六是要获得安全的软件，必须与SDLC（软件开发生命周期）进行深度集成。
当公司在部署或者升级软件安全计划的时候，应综合考虑多个因素，如不断发展演进的业务和技术、管理人员的期望、安全目标和运营目标以及其当前的优势和劣势等。杨国梁告诉记者，一个全面且成熟的软件安全计划（SSI）可以帮助客户在安全方面领先一步，但是，如果客户的团队既不了解SSI的当前状态，也不清楚制定改进策略和确定优先改善项目所需的数据，那该怎么办？此时就需要BSIMM发挥作用了，BSIMM旨在帮助企业衡量和描述（以通用术语表示）不同SSI的实践模块和活动，它可以观察、评估和描述客户的SSI真实状态。BSIMM可以评估SSI核心活动，将客户的SSI与同业其他公司比较，可以衡量和追踪SSI进展，并且借鉴成熟计划的案例以优化自身的SSI，最后获得个性化报告。
杨国梁强调，BSIMM不是单一用途的软件安全计划（SSI）基准测试工具，任何人身居软件安全管理岗位，不论是集中治理导向型抑或是趋近于产品工程导向型，都可以借助BSIMM简化管理并获得持续改进的能力。所有的公司，无论其成熟度、规模和垂直行业如何，在从头开始构建新的SSI时以及随时间的推移而逐步完善其计划的成熟度时，都应将BSIMM作为参考指南。
BSIMM包括的数据是从真正建立SSIs的公司收集而来，量化了119项活动的发生，来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的，涵盖该模型所描述的全部12项实践中各种各样的活动。组织可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。杨国梁总结说，BSIMM对于客户的意义就在于，它可以帮助客户提供一个评估服务，评估之后客户就会知道自己的软件安全方面在业界以及垂直行业处于一个什么样的水准，然后基于这个评估结果，就可以在策略层面或者在规划层面开展整个软件安全的工作。

BSIMM10功能更加强大
在过去的十年里，新思科技采用BSIMM对185家公司进行了约450次评估，第十个版本反应了观察到的122家公司的软件安全活动。BSIMM10还强调了DevOps对软件安全计划的影响、工程导向的安全工作的新浪潮以及公司如何在软件安全成熟度的三个阶段前行。
BSIMM10描述了7,900名软件安全专家的工作成果，这些成果对参与超过17.3万应用程序开发工作的47万名开发人员有指导作用。BSIMM10代表的公司来自垂直行业，包括金融服务、高科技、独立软件供应商（ISVs），云、医疗保健、物联网、保险及零售业。与之前的版本相比，BSIMM10的优势主要体现在以下三个方面：
一是DevOps对软件安全的影响。BSIMM数据显示DevOps的发展以及持续集成和持续交付（CI/CD）工具正在影响公司实现软件安全性的方式。这在BSIMM新增的三个活动中可以看出，新的活动反映了公司如何积极致力使安全活动自动化，来配合将业务功能推向市场的速度。BSIMM10也包括更新的描述和现有活动的示例，以反映这些活动如何作为现代DevOps组织实施的一部分。
二是工程导向的安全文化的新浪潮：BSIMM10是第一个正式反映SSI文化发生变化的研究，工程主导的软件安全工作是由开发和运营团队自下而上驱动的，而不像在集中式软件安全小组自上而下。在一些组织中，工程主导的安全文化克服了建立和发展有意义的软件安全工作的困难。工程导向的安全文化新浪潮的出现，是应对诸如敏捷和DevOps之类的现代软件交付实践的需求以及现有SSIs不希望产生的摩擦。
三是公司采用BSIMM来为其软件安全旅程导航：BSIMM10是首个定义SSI成熟度三个阶段（兴起、发展和优化）的版本，并且描述了不同公司通常如何通过它们发展。BSIMM数据显示，随着时间的推移，企业得到了明显改进，许多企业均已达到了一定的成熟度，以至于他们开始关注活动的深度、广度和规模，而不是总想着增加活动数量。