自2008年起，新思科技（Synopsys, Inc.，Nasdaq: SNPS）每年都會(huì)通過(guò)與直接參與企業(yè)軟件安全活動(dòng)的人員進(jìn)行數(shù)百次訪談，收集不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數(shù)據(jù)，并分析匯總成為報(bào)告--軟件安全構(gòu)建成熟度模型(BSIMM)。近日，新思科技發(fā)布了BSIMM11報(bào)告。

　　BSIMM旨在幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。BSIMM11反應(yīng)了觀察到的130家公司的軟件安全活動(dòng)，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對(duì)超過(guò)49萬(wàn)名開發(fā)人員有指導(dǎo)作用。

　　BSIMM是企業(yè)衡量軟件安全的標(biāo)尺，他們可以將自己的軟件安全計(jì)劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。 BSIMM11表明，許多企業(yè)正在調(diào)整其軟件安全計(jì)劃，以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

　　下載BSIMM11： https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報(bào)告。

　　美國(guó)海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員，其首席信息安全官 Mike Newborn表示：“對(duì)于有興趣學(xué)習(xí)同行經(jīng)驗(yàn)，尤其是如何解決新的或正在涌現(xiàn)的挑戰(zhàn)的安全領(lǐng)導(dǎo)者而言，BSIMM提供豐富的資源。如今，大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn)：一方面需要加速軟件開發(fā)和推出市場(chǎng)；另一方面又要確保日益增多的軟件應(yīng)用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調(diào)整其軟件安全策略，在持續(xù)創(chuàng)新或保障開發(fā)速度的同時(shí)保護(hù)自己和客戶的軟件應(yīng)用安全。”

　　新思科技高級(jí)技術(shù)總監(jiān)兼BSIMM報(bào)告聯(lián)合作者M(jìn)ichael Ware表示：“在過(guò)去的幾年中，現(xiàn)代軟件的構(gòu)建和部署方式有了巨大改變，因此，為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務(wù)高度依賴軟件，現(xiàn)代方法論加快了開發(fā)速度。因此，軟件的數(shù)量不斷在攀升，我們也仍然需要擔(dān)心先前開發(fā)的軟件是否有風(fēng)險(xiǎn)。BSIMM是不斷發(fā)展的軟件安全構(gòu)建成熟度模型，它代表著全球數(shù)百個(gè)軟件安全企業(yè)，包括一些全球領(lǐng)先的團(tuán)隊(duì)，正在采取的舉措，提供了近乎實(shí)時(shí)的行業(yè)實(shí)踐，了解如何實(shí)施新舉措以保護(hù)不斷增加的軟件產(chǎn)品組合。”

　　在過(guò)去的一年中，添加到BSIMM10中的三個(gè)活動(dòng)取得了驚人的增長(zhǎng)（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動(dòng)化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動(dòng)驗(yàn)證運(yùn)營(yíng)基礎(chǔ)運(yùn)維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應(yīng)軟件交付的速度。此外，BSIMM11中添加的兩個(gè)活動(dòng)顯示了這一趨勢(shì)在延續(xù)（ST3.6 自動(dòng)實(shí)施事件驅(qū)動(dòng)的安全性測(cè)試，CMVM3.6 發(fā)布可部署工件的風(fēng)險(xiǎn)數(shù)據(jù)）。

　　BSIMM提供了以數(shù)據(jù)為依據(jù)的獨(dú)特見解，以了解和比較各個(gè)行業(yè)中軟件安全計(jì)劃的相對(duì)優(yōu)勢(shì)和劣勢(shì)。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè)。BSIMM11還強(qiáng)調(diào)了三個(gè)受到高度監(jiān)管的行業(yè)之間的差異：金融服務(wù)、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊(duì)，因此，與醫(yī)療保健和保險(xiǎn)行業(yè)相比，擁有更為成熟的軟件安全實(shí)踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓(xùn)、安全測(cè)試和代碼審查實(shí)踐中。

　　下載BSIMM11 ：https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報(bào)告。

　　新思科技首席科學(xué)家Sammy Migues，新思科技高級(jí)技術(shù)總監(jiān)Michael Ware以及Aedify Security創(chuàng)始人John Steven，分析了過(guò)去12年軟件安全研究收集的數(shù)據(jù)，并共同編寫B(tài)SIMM11報(bào)告。部分參與評(píng)估的公司包括：Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual,  McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, 以及 Zendesk.