當公司在部署或者升級軟件安全計劃的時候，應綜合考慮多個因素，如不斷發展演進的業務和技術、管理人員的期望、安全目標和運營目標、以及其當前的優勢和劣勢等。

新思科技軟件安全構建成熟度模型（BSIMM）不是單一用途的軟件安全計劃（SSI）基準測試工具 – 任何人身居軟件安全管理崗位，不論是集中治理導向型抑或是趨近于產品工程導向型，都可以借助 BSIMM 簡化管理并獲得持續改進的能力。所有的公司，無論其成熟度、 規模和垂直行業如何，在從頭開始構建新的 SSI時以及隨時間的推移而逐步完善其計劃的成熟度時，都應將 BSIMM作為參考指南。

新思科技（Synopsys， Inc.，Nasdaq： SNPS）宣布發布其最新版本的軟件安全構建成熟度模型（BSIMM）——BSIMM10。該模型旨在幫助企業規劃、執行、完善和評估其軟件安全計劃（SSIs）。在過去的十年里，新思科技采用BSIMM對185家公司進行了約450次評估，第十個版本反應了觀察到的122家公司的軟件安全活動。BSIMM10還強調了DevOps對軟件安全計劃的影響、工程導向的安全工作的新浪潮以及公司如何在軟件安全成熟度的三個階段前行。點擊以下鏈接，下載BSIMM10報告：www.bsimm.com/zh-cn/download.html.

MassMutual企業信息風險管理總監Jim Routh表示：“自2008年起，BSIMM就作為評估各種類型和規模的組織的有效工具，包括全球一些先進的安全團隊正采用其軟件安全策略。最新的BSIMM數據反映了有多少家組織正調整其方法來應對現代開發和部署實踐的新動態，比如縮短發布周期、增加自動化的使用和軟件定義的基礎架構。”

BSIMM10描述了7，900名軟件安全專家的工作成果，這些成果對參與超過17.3萬應用程序開發工作的47萬名開發人員有指導作用。BSIMM10代表的公司來自垂直行業，包括金融服務、高科技、獨立軟件供應商（ISVs），云、醫療保健、物聯網、保險及零售業。

BSIMM10報告的主要發現包括：

·DevOps對軟件安全的影響：BSIMM數據顯示DevOps的發展以及持續集成和持續交付（CI/CD）工具正在影響公司實現軟件安全性的方式。這在BSIMM新增的三個活動中可以看出，新的活動反映了公司如何積極致力使安全活動自動化，來配合將業務功能推向市場的速度。BSIMM10也包括更新的描述和現有活動的示例，以反映這些活動如何作為現代DevOps組織實施的一部分。

·工程導向的安全文化的新浪潮：BSIMM10是第一個正式反映SSI文化發生變化的研究，工程主導的軟件安全工作是由開發和運營團隊自下而上驅動的，而不像在集中式軟件安全小組自上而下。在一些組織中，工程主導的安全文化克服了建立和發展有意義的軟件安全工作的困難。工程導向的安全文化新浪潮的出現，是應對諸如敏捷和DevOps之類的現代軟件交付實踐的需求以及現有SSIs不希望產生的摩擦。

·公司采用BSIMM來為其軟件安全旅程導航：BSIMM10是首個定義SSI成熟度三個階段（興起、發展和優化）的版本，并且描述了不同公司通常如何通過它們發展。BSIMM數據顯示，隨著時間的推移，企業得到了明顯改進，許多企業均已達到了一定的成熟度，以至于他們開始關注活動的深度、廣度和規模，而不是總想著增加活動數量。

新思科技首席科學家Sammy Migues表示：“領導一個有效的軟件安全計劃是富有挑戰性的，而DevOps和CI/CD帶來的巨大技術和組織變革并沒有使這項任務變得更加容易。作為不斷發展以反映全球數百個軟件安全小組的經驗的工具，無論你是剛剛開始你的軟件安全旅程，尋求優化程序或者應對新的挑戰，BSIMM以及社區都是寶貴的資源。”

BSIMM包括的數據是從真正建立SSIs的公司收集而來，量化了119項活動的發生，來展示許多計劃的共同點以及彰顯個性的不同之處。BSIMM數據顯示高成熟度的計劃是全面的，涵蓋該模型所描述的全部 12項實踐中各種各樣的活動。組織可以采用BSIMM來比較計劃并且決定哪些額外活動可能對支持其整體戰略有意義。

致謝

新思科技首席科學家Sammy Migues，新思科技業務負責人Michael Ware以及ZeroNorth首席科技官John Steven，分析了過去11年軟件安全研究收集的數據后共同編寫了BSIMM10。部分參與評估的公司包括：Adobe， Aetna， Alibaba， Ally Bank， Amadeus， Amgen， Autodesk， Axway， Bank of America， Betfair， BMO Financial Group， Black Duck Software， Black Knight Financial Services， Box， Canadian Imperial Bank of Commerce， Capital One， City National Bank， Cisco， Citigroup， Citizens Bank， Comerica Bank， Dahua， Depository Trust & Clearing Corporation， Eli Lilly， Ellucian， Experian， F-Secure， Fannie Mae， Fidelity， Freddie Mac， General Electric， Genetec， Global Payments， HCA Healthcare， Highmark Health Solutions， Horizon Healthcare Services， HSBC， iPipeline， Johnson & Johnson， JPMorgan Chase & Co.， Lenovo， LGE， McKesson， Medtronic， Morningstar， Navient， NCR， NetApp， News Corp， NVIDIA， PayPal， Principal Financial Group， Royal Bank of Canada， Scientific Games， Synopsys Software Integrity Group， TD Ameritrade， The Home Depot， The Vanguard Group， Trainline， Trane， U.S. Bank， Veritas， Verizon， Wells Fargo以及Zendesk