美国新思科技公司 (Synopsys, Nasdaq: SNPS)发布其业界领先的最新版本的软件安全构建成熟度模型 —— BSIMM8。该模型是基于真实数据，旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM8是软件安全构建成熟度模型(BSIMM)的第八个版本，首次于亚太区发布，是迄今为止发布最详细的BSIMM数据。BSIMM8显示随着越来越多企业在SSI生命周期初期就已经设立基准，软件安全已经成为他们一项关键的考量。企业运用评估结果从战略上管理风险， 随着时间推移，其SSI将出现显著改进。请点击链接下载BSIMM8报告：https://www.bsimm.com/zh-cn/download.html

安全技术部副总裁Gary McGraw博士表示：“针对易受攻击软件的破坏性攻击分布广并且数量日益增长。我们发现从被动的‘渗透和补丁’方式转向更多的主动战略，可以帮助企业从一开始就可以系统地构建安全软件。企业开始明白，他们可以通过构建SSI来有效地降低风险，并通过诸如BSIMM等工具来评估其优势和不足，将精力放在最恰当的实践模块和活动上。”

BSIMM8收集了来自109家公司的数据，并且描述了4,769名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对近30万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。这些开发人员参与约9.5万应用程序的开发工作。参与BSIMM8调研的公司来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网和保险。

BSIMM8 研究的主要发现包括：

 · 企业运用BSIMM来助推SSI。BSIMM8增加了实施SSI相对较晚的公司，平均总体成熟度有所下滑¹，从BSIMM7中的33.9%降至33.1% ，企业软件安全小组 (SSG)建立的平均时长从3.94年降至3.88年。设立SSI基准是软件安全行为的首要步骤之一。

 · BSIMM公司SSI逐渐走向成熟。参加多次BSIMM评估的公司的成熟度有明显的上升趋势，平均活动数量增加了10.3，达到33.4%。设立基准是指导企业持续构建安全软件最有效的实践。

 · 成熟度因行业而异。每个行业都有不同于其它行业的关注重点和举措，每个行业和独立组织构建软件安全的方式也有差异。总的来说，云端、金融服务、独立软件供应商的成熟度要高于医疗卫生、物联网和保险行业。金融服务和云行业在合规与政策实践模块得分较高，物联网行业在软件环境实践中成熟度最高。

根据权威调研机构Gartner调研显示，应用程序安全需要一个有结构的、程序化的方法来处理看似复杂的新技术和不断变化的威胁环境。可靠的应用安全方案必须是人、流程和技术三者的平衡结合²。

BSIMM对已经建立真正SSI的企业进行观察，描述了113项可付诸实践的活动，通过量化多家不同企业的做法，能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面，开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较，由此决定哪些活动是可能有用的。

致谢

Gary McGraw博士和Synopsys公司首席科学家Sammy Migues，以及NetSuite首席架构师Jacob West，分析了过去9年软件安全研究收集的数据。参与评估的公司包括：Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizen’s Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors N.V., Oracle NSGBU, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, The Advisory Board, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo, Zendesk,以及 Zephyr Health.

1. BSIMM 分数反映了在评估一家公司的SSI时所观察到的全部软件安全活动。每项活动得一分，BSIMM框架一共包括113项活动。

2. 来源：Gartner, “A Guidance Framework for Establishing and Maturing an Application Security Program”，发表于 2016年12月23日，作者为Michael Isbitski和 Ramon。