【 讯】在大部分人的印象中，安全就是加密、防护等功能，其实安全远不止这些。更加没有什么神奇的功能可以一蹴而就，一下子就把安全问题解决掉。如果想真正落实安全，就必须要有前期和后期的投入，贯穿整个软件的生命周期。

新思科技软件质量与安全部门管理顾问Olli Jarva和新思科技软件质量与安全部门高级安全架构师杨国梁在日前举办的媒体交流会上，正式对外发布最新版软件安全构建成熟度模型——BSIMM9。并且，与会期间对BSIMM报告进行了详细阐述以及对BSIMM9的最新亮点进行系统的介绍。

将安全深度融入整个软件开发生命周期（SDLC）

新思科技软件质量与安全部门高级安全架构师杨国梁表示：“软件设计和非功能性方面是同样至关重要的。安全不光是后续的活动，比如雇佣一些白帽黑客来做一些测试，或者叠加一些防火墙之类的手段就可以解决。前期在设计时也会引入大量问题，而这类问题需要在实施的阶段就考虑，才能把安全的问题解决好。”

新思科技软件质量与安全部门高级安全架构师 杨国梁

杨国梁认为：“漏洞和缺陷占比为50/50。漏洞，其实就是写代码的时候可能埋进去的一些bug；缺陷就是设计的时候就没设计好这个产品，导致它逻辑上就有问题。所以不能完全指望一些测试工具，或者一些第三方的机构能够帮你通过测试的方法解决所有的安全问题。像这些设计类的问题，还要通过一些比如架构分析、建模等等，在前期就做好这些规划，才能很好的规避质量和安全问题。如果要研发出高质量、安全可靠的软件，新思科技推荐把安全深度融入到整个软件开发生命周期(SDLC)。”

BSIMM: 软件安全评估的可靠标准 

新思科技的软件安全构建成熟度模型BSIMM旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。 BSIMM于2008年开始发布，BSIMM9是软件安全构建成熟度模型(BSIMM)的第九个版本，收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展，并且在数据库中纳入了新的垂直行业 - 零售业。

杨国梁介绍：“BSIMM9描述了7,800多名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。而这些开发人员参与约13.5万应用程序的开发工作，参与BSIMM9调研的企业来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网、保险及零售业。 ”

据悉，BSIMM对已经建立真正软件安全计划的企业进行观察，描述了116项可付诸实践的活动，通过量化不同企业的做法，能够同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面，开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较，由此决定哪些活动是可能有用的，可以支持其整体策略实施。

新思科技软件质量与安全部门管理顾问 Olli Jarva

新思科技软件质量与安全部门管理顾问Olli Jarva表示：“BSIMM提供真实的数据参照，已经成为评估和改进软件安全计划的可靠标准。凭借BSIMM，用户可以将自己的软件安全计划与世界上其它一些成熟的公司作对比。BSIMM9凝聚了新思科技10年来在软件安全领域观察工作的结晶，汇集了该领域最大规模的客观数据。” 

云转型、不同垂直行业应用、扩大评估群体规模，是BSIMM9报告的亮点和新发现，Olli Jarva介绍：

云转型：企业正在将其工作负载和开发流程迁移到云端，这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外，在独立软件供应商、物联网公司和云计算公司（三个最突出的垂直行业）观察到的多种活动已开始融合，这表明通用云架构需要类似的软件安全方法。 Ÿ  

BSIMM应用在不同垂直行业：BSIMM可用来比较同一行业以及不同垂直行业之间的软件安全计划。 BSIMM9数据中纳入了一个新的垂直行业——零售业。随着电子商务模式的崛起，保持软件安全对促进零售业健康发展至关重要，因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。 Ÿ  

评估群体规模扩大：BSIMM8收集的数据来自109家公司，BSIMM9增加到120家。它所涵盖的开发人员数量增长了43％，其评估的软件安全从业人员数量增长了65％。BSIMM规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

BSIMM 助力企业实现目标

向客户、合作伙伴和监管机构展示其软件安全状态， 获得预算和资源，评估软件安全计划成熟度， 评估企业自身的软件安全计划策略，建立一个衡量软件安全计划进展的方法，是BSIMM 助力企业实现的五大目标。

目标一：在平常的工作过程中，不论是客户、供应商、合作伙伴，甚至行业内的一些监管机构，都需要你向他们解释自己在软件安全方面做了哪些事情。怎么把自己做的事情说清楚，甚至双方沟通之间会不会有一些误差，双方理解的意思是否相同等等，此时最需要的就是一个独立的第三方评估的体系。

如果有BSIMM的评估得分，对方就可以很清楚地看到在这100多个活动上，在不同的等级上，做了什么事情，没做什么事情，得分情况如何。从而，可以行之有效的向客户、合作伙伴和监管机构展示其软件安全状态。

目标二：通过BSIMM的评估，告诉领导和审批的人哪方面做的还欠缺，还不够，哪方面确实是需要加强的。同时，对于业务部门获得预算来说，也有一个比较正面的帮助。

目标三：预算花出去了，总归要见成效。通过两次不同的BSIMM评估，就可以知道预算花出之后，对于想改进的地方是否得到了提升。当做第二次BSIMM评估之后，就可以明显的看到这个预算花的有没有用，如果有用的话，改进了多少，都可以通过评估软件安全计划成熟度，一目了然的看到。

目标四：BSIMM最大的亮点就可以可以帮助企业制定软件安全计划策略，可以有计划地通知哪个方面需要提高，BSIMM就可以有专注性或者有方向性的帮助企业提高一些安全建议。

目标五：每一家企业都想成为一个行业的领导者，但是怎样做到？自己现在又处在什么位置？可以通过BSIMM衡量软件安全计划进展的方法，把自己和竞争对手、行业的平均水平做一个区分，这对于提升企业本身的竞争力，将有很好的帮助。