速途網10月25日消息（報道：潘晨曉）日前，新思科技（Synopsys, Inc.）宣布發布其最新版本的軟件安全構建成熟度模型(BSIMM)——BSIMM10。該模型旨在幫助企業規劃、執行、完善和評估其軟件安全計劃(SSIs)。

新思科技軟件安全構建成熟度模型(BSIMM) 是一種基準測試工具，通過數據驅動的客觀方式展示當前軟件安全性活動的概況。

在這個數字化轉型和不斷變化的時代，構建安全優質的軟件比以往任何時候都更具挑戰性。要想通過協調一致的方式灌輸、測量、管理和改善軟件安全活動，就需要執行軟件安全計劃 (SSI)。此外，必須確保 SSI 與企業的動態開發環境保持同步，包括開發方法、DevOps 文化、部署環境、監管要求、供應鏈、軟件發布周期等等。要做到這一點，需要了解 SSI 的現狀，以及用于創建改進策略和確定 SSI 更改優先級的數據。

在過去的十年里，新思科技采用BSIMM對185家公司進行了約450次評估，第十個版本反應了觀察到的122家公司的軟件安全活動。BSIMM10還強調了DevOps對軟件安全計劃的影響、工程導向的安全工作的新浪潮以及公司如何在軟件安全成熟度的三個階段前行。

MassMutual企業信息風險管理總監Jim Routh表示：“自2008年起，BSIMM就作為評估各種類型和規模的組織的有效工具，包括全球一些先進的安全團隊正采用其軟件安全策略。最新的BSIMM數據反映了有多少家組織正調整其方法來應對現代開發和部署實踐的新動態，比如縮短發布周期、增加自動化的使用和軟件定義的基礎架構。”

BSIMM10描述了7,900名軟件安全專家的工作成果，這些成果對參與超過17.3萬應用程序開發工作的47萬名開發人員有指導作用。BSIMM10代表的公司來自垂直行業，包括金融服務、高科技、獨立軟件供應商(ISVs)，云、醫療保健、物聯網、保險及零售業。

BSIMM10報告的主要發現包括：

• DevOps對軟件安全的影響：BSIMM數據顯示DevOps的發展以及持續集成和持續交付(CI/CD)工具正在影響公司實現軟件安全性的方式。這在BSIMM新增的三個活動中可以看出，新的活動反映了公司如何積極致力使安全活動自動化，來配合將業務功能推向市場的速度。BSIMM10也包括更新的描述和現有活動的示例，以反映這些活動如何作為現代DevOps組織實施的一部分。

• 工程導向的安全文化的新浪潮：BSIMM10是第一個正式反映SSI文化發生變化的研究，工程主導的軟件安全工作是由開發和運營團隊自下而上驅動的，而不像在集中式軟件安全小組自上而下。在一些組織中，工程主導的安全文化克服了建立和發展有意義的軟件安全工作的困難。工程導向的安全文化新浪潮的出現，是應對諸如敏捷和DevOps之類的現代軟件交付實踐的需求以及現有SSIs不希望產生的摩擦。

• 公司采用BSIMM來為其軟件安全旅程導航：BSIMM10是首個定義SSI成熟度三個階段（興起、發展和優化）的版本，并且描述了不同公司通常如何通過它們發展。BSIMM數據顯示，隨著時間的推移，企業得到了明顯改進，許多企業均已達到了一定的成熟度，以至于他們開始關注活動的深度、廣度和規模，而不是總想著增加活動數量。

新思科技首席科學家Sammy Migues表示：“領導一個有效的軟件安全計劃是富有挑戰性的，而DevOps和CI/CD帶來的巨大技術和組織變革并沒有使這項任務變得更加容易。作為不斷發展以反映全球數百個軟件安全小組的經驗的工具，無論你是剛剛開始你的軟件安全旅程，尋求優化程序或者應對新的挑戰，BSIMM以及社區都是寶貴的資源。”

BSIMM包括的數據是從真正建立SSIs的公司收集而來，量化了119項活動的發生，來展示許多計劃的共同點以及彰顯個性的不同之處。BSIMM數據顯示高成熟度的計劃是全面的，涵蓋該模型所描述的全部 12項實踐中各種各樣的活動。組織可以采用BSIMM來比較計劃并且決定哪些額外活動可能對支持其整體戰略有意義。