自2008年起，新思科技（Synopsys, Inc.）的軟件安全構建成熟度模型(BSIMM)就作為評估各種類型和規模的組織的有效工具，包括全球一些先進的安全團隊正采用其軟件安全策略。最新的BSIMM數據反映了有多少家組織正調整其方法來應對現代開發和部署實踐的新動態，比如縮短發布周期、增加自動化的使用和軟件定義的基礎架構。

近日，新思科技宣布發布BSIMM11報告。該模型旨在幫助企業規劃、執行、評估和完善其軟件安全計劃(SSI)。BSIMM11反應了觀察到的130家公司的軟件安全活動，覆蓋多個垂直行業，包括金融服務、金融科技、獨立軟件供應商(ISV)、云、醫療保健、物聯網、保險及零售等。BSIMM11描述了8,457名軟件安全專家的工作成果，這些成果對超過49萬名開發人員有指導作用。

BSIMM是企業衡量軟件安全的標尺，他們可以將自己的軟件安全計劃與BSIMM社區的數據進行比較。 BSIMM11表明，許多企業正在調整其軟件安全計劃，以支持數字化轉型和DevOps等現代軟件開發范例。

美國海軍聯邦信用合作社(Navy Federal Credit Union)是BSIMM社區的一員，其首席信息安全官 Mike Newborn表示：“對于有興趣學習同行經驗，尤其是如何解決新的或正在涌現的挑戰的安全領導者而言，BSIMM提供豐富的資源。如今，大多數企業都面臨著這樣的挑戰：一方面需要加速軟件開發和推出市場；另一方面又要確保日益增多的軟件應用的安全。BSIMM11反映了這些企業中有多少家正在調整其軟件安全策略，在持續創新或保障開發速度的同時保護自己和客戶的軟件應用安全。”

BSIMM11報告發現的新趨勢包括：

●   工程技術導向的軟件安全工作正在成功地為實現彈性的 DevOps 價值流貢獻力量。BSIMM11表明，持續集成和持續交付(CI/CD)工具和運維編排已成為一些企業軟件安全方案的常規操作，并且正在影響SSI的組織、設計和執行方式。例如，軟件安全團隊越來越多地向技術小組或首席技術官匯報工作（而不是IT安全團隊或首席信息安全官），并且正在改變內部招募和組織人才的方式。

●   軟件定義的安全管理不再僅僅是一種愿景。企業采用由CI/CD管道執行中的事件觸發的自動化活動替代一些摩擦性高的帶外（out-of-band）數據安全活動。將人員流程和決策轉換為算法是企業越來越多地解決資源約束和節奏管理問題的方法之一。

●   安全“左移”變為“無處不移”。“左移”概念的實現已從在軟件開發周期中較早地執行一些安全測試的字面解釋演變為在有待檢查的工件可用時立即執行安全活動。這可能意味著在過去我們認為在左側（較早期）的安全測試現在大多數情況下可能是在右側（偏后期，包括生產階段）。

●   在BSIMM里引入金融科技垂直行業的數據。在仔細審查了金融行業中不斷增長的公司數據池后，很明顯，有必要添加一個專門面向金融服務的ISV單獨的垂直行業。

新思科技高級技術總監兼BSIMM報告聯合作者Michael Ware表示：“在過去的幾年中，現代軟件的構建和部署方式有了巨大改變，因此，為確保軟件安全所需的舉措自然也在發生變化。企業業務高度依賴軟件，現代方法論加快了開發速度。因此，軟件的數量不斷在攀升，我們也仍然需要擔心先前開發的軟件是否有風險。BSIMM是不斷發展的軟件安全構建成熟度模型，它代表著全球數百個軟件安全企業，包括一些全球領先的團隊，正在采取的舉措，提供了近乎實時的行業實踐，了解如何實施新舉措以保護不斷增加的軟件產品組合。”

BSIMM中新的活動代表著向DevSecOps的轉變

在過去的一年中，添加到BSIMM10中的三個活動取得了驚人的增長（SM3.4 集成軟件定義生命周期管理、AM3.3 監控自動化資產創建工作和CMVM3.5 自動驗證運營基礎運維安全性）。這反映了一些企業如何積極加速軟件安全工作，以適應軟件交付的速度。此外，BSIMM11中添加的兩個活動顯示了這一趨勢在延續（ST3.6 自動實施事件驅動的安全性測試，CMVM3.6 發布可部署工件的風險數據）。

不同行業中BSIMM的應用

BSIMM提供了以數據為依據的獨特見解，以了解和比較各個行業中軟件安全計劃的相對優勢和劣勢。云、物聯網和高科技公司是BSIMM11數據池中最成熟的三個垂直行業。BSIMM11還強調了三個受到高度監管的行業之間的差異：金融服務、醫療保健和保險。金融服務行業比其他行業更早地組建軟件安全團隊，因此，與醫療保健和保險行業相比，擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業的數據，并發現它與金融服務的追蹤非常接近，主要的差異（有利于金融科技）體現在培訓、安全測試和代碼審查實踐中。