自2008年起，新思科技（Synopsys, Inc.，Nasdaq: SNPS）每年都會通過與直接參與企業(yè)軟件安全活動的人員進行數(shù)百次訪談，收集不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù)，并分析匯總成為報告--軟件安全構建成熟度模型(BSIMM)。近日，新思科技發(fā)布了BSIMM11報告。

　　BSIMM旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應了觀察到的130家公司的軟件安全活動，覆蓋多個垂直行業(yè)，包括金融服務、金融科技、獨立軟件供應商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對超過49萬名開發(fā)人員有指導作用。

　　BSIMM是企業(yè)衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進行比較。 BSIMM11表明，許多企業(yè)正在調(diào)整其軟件安全計劃，以支持數(shù)字化轉型和DevOps等現(xiàn)代軟件開發(fā)范例。

　　下載BSIMM11： https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。

　　美國海軍聯(lián)邦信用合作社(Navy Federal Credit Union)是BSIMM社區(qū)的一員，其首席信息安全官 Mike Newborn表示：“對于有興趣學習同行經(jīng)驗，尤其是如何解決新的或正在涌現(xiàn)的挑戰(zhàn)的安全領導者而言，BSIMM提供豐富的資源。如今，大多數(shù)企業(yè)都面臨著這樣的挑戰(zhàn)：一方面需要加速軟件開發(fā)和推出市場；另一方面又要確保日益增多的軟件應用的安全。BSIMM11反映了這些企業(yè)中有多少家正在調(diào)整其軟件安全策略，在持續(xù)創(chuàng)新或保障開發(fā)速度的同時保護自己和客戶的軟件應用安全。”

　　新思科技高級技術總監(jiān)兼BSIMM報告聯(lián)合作者Michael Ware表示：“在過去的幾年中，現(xiàn)代軟件的構建和部署方式有了巨大改變，因此，為確保軟件安全所需的舉措自然也在發(fā)生變化。企業(yè)業(yè)務高度依賴軟件，現(xiàn)代方法論加快了開發(fā)速度。因此，軟件的數(shù)量不斷在攀升，我們也仍然需要擔心先前開發(fā)的軟件是否有風險。BSIMM是不斷發(fā)展的軟件安全構建成熟度模型，它代表著全球數(shù)百個軟件安全企業(yè)，包括一些全球領先的團隊，正在采取的舉措，提供了近乎實時的行業(yè)實踐，了解如何實施新舉措以保護不斷增加的軟件產(chǎn)品組合。”

　　在過去的一年中，添加到BSIMM10中的三個活動取得了驚人的增長（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動驗證運營基礎運維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應軟件交付的速度。此外，BSIMM11中添加的兩個活動顯示了這一趨勢在延續(xù)（ST3.6 自動實施事件驅(qū)動的安全性測試，CMVM3.6 發(fā)布可部署工件的風險數(shù)據(jù)）。

　　BSIMM提供了以數(shù)據(jù)為依據(jù)的獨特見解，以了解和比較各個行業(yè)中軟件安全計劃的相對優(yōu)勢和劣勢。云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異：金融服務、醫(yī)療保健和保險。金融服務行業(yè)比其他行業(yè)更早地組建軟件安全團隊，因此，與醫(yī)療保健和保險行業(yè)相比，擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓、安全測試和代碼審查實踐中。

　　下載BSIMM11 ：https://www.bsimm.com/zh-cn/download.html?cmp=pr-sig&utm_medium=referral報告。

　　新思科技首席科學家Sammy Migues，新思科技高級技術總監(jiān)Michael Ware以及Aedify Security創(chuàng)始人John Steven，分析了過去12年軟件安全研究收集的數(shù)據(jù)，并共同編寫B(tài)SIMM11報告。部分參與評估的公司包括：Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual,  McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, 以及 Zendesk.