隨著全球數字化轉型的不斷深入，軟件安全也迎來了高速發展期。只有建立可信、健全的軟件安全保障體系，才能筑牢數字經濟的網絡安全屏障。

中國正在把發展經濟的著力點放在實體經濟上，加快建設網絡強國、數字中國。同時，數字經濟與各種產業疊加，賦予數字化力量，可以提升實體經濟的產業優勢，促進產業邁向高質量。對此，新思科技強調，數字賦能，安全先行。把安全貫穿在數字經濟發展的全過程，才能行穩致遠。軟件安全不會一蹴而就，而是一個旅程，需要借鑒“他山之石”，取長補短。

當然，他人的經驗并非都有普適性。雖然出發點是好的，但是如果采納了不適合自身的軟件安全建議，或者盲目跟隨某家企業的軟件安全計劃，可能會導致損失。一旦不法分子發現其中的缺陷和漏洞，就可以竊取知識產權、員工和客戶的個人信息、清空公司銀行賬戶、破壞建筑的安保，甚至通過勒索軟件來破壞企業運營。

在如今數字化轉型的大環境中，每個企業在本質上都是一家軟件公司。因此軟件風險很大程度上等同于業務風險。在競爭激烈且充滿不確定性的市場環境中，企業應該對軟件安全建議謹慎求證，才能確定是否應該采取后續行動。

如果從一兩家公司的軟件安全計劃中找不到合適的參照，那100多家呢？基于大量的真實數據，描述哪些方案是有效的，哪些是失敗的，更重要的是行業在發生什么變化，已經采取了哪些安全舉措以更高效地響應這些變化，進而構建可信軟件。

這也是自2008年開始，全球有數百家企業參加軟件安全構建成熟度模型（BSIMM）評估的原因。這其中也不乏中國企業，比如OPPO、聯想和浪潮參加了新思科技最新的BSIMM13評估。

BSIMM是免費及開放的標準，廣泛適用于各行業。BSIMM 軟件安全框架(SSF)包含四個領域 — 治理、 情報、 SSDL 觸點和部署，涵蓋250項軟件安全計劃，觀察企業如何將安全性構建到軟件開發中，以應對不斷變化的數字威脅環境。通過這種數據驅動的視角，BSIMM可全面評估企業軟件安全小組的成熟度，并創建用于衡量其計劃成熟度的軟件安全計分卡。

除了評估和計分卡，BSIMM還為多樣化的成員社區搭建交流橋梁，大家可以互動、學習行業最佳實踐、獲得對不斷變化的商業環境的新見解，并參加線下活動，以促進更緊密的聯系和合作。

無論您是正在制定軟件安全計劃，還是已經開始維護成熟的計劃，根據BSIMM13數據，都應該考慮實施以下措施：

●   自動化軟件安全工具到位。無論是用于靜態或動態測試還是軟件組成分析，這些工具都可以識別并幫助修復關鍵軟件中的缺陷、漏洞和惡意代碼，無論是內部開發的軟件、商業第三方軟件還是開源軟件。

●   基于數據驅動安全決策。使用安全測試工具收集數據、合并數據，然后使用這些數據制定和實施軟件安全策略。收集有關執行了哪些測試以及發現了哪些問題的數據，以推動同時改進軟件開發生命周期(SDLC)和治理流程。

●   向自動化安全測試和決策轉變。從人力資源密集的人工方式轉變為更一致、更高效、可重復性更強的自動化方法。

●   在SDLC中向規模更小的自動檢測轉變。在檢查軟件時，盡一切可能通過規模更小、速度更快、管道驅動的測試替代滲透測試或人工代碼審查等手動活動。

●   盡早創建全面的軟件物料清單(SBOM)。SBOM中應包括企業的資產清單以及開源和第三方代碼清單。

BSIMM13觀察到的其中一個趨勢是軟件供應鏈風險管理興起。就在幾年前，這還是安全社區的邊緣話題。現在，可能由于近期比較頻繁的供應鏈攻擊事件影響，管理軟件供應鏈風險（最常見的是通過識別和保護開源軟件來執行）成為BSIMM成員企業的首要任務。BSIMM13 報告顯示，與控制開源風險相關的活動增加了 51%，通過構建和維護SBOM以對其部署的軟件中的組件進行全面分類的企業增加了 30% 。

在BSIMM13中，最引人注目的數字或許是0。數據表明，在130家參與評估的企業中，沒有一家的軟件安全小組具有完全相同的架構。沒有一個所謂“最好”的途徑可以構建出成熟的軟件安全應用。但我們有著共同的目標：構建可信的軟件。

BSIMM并不規定企業需要采取何種路徑。而是幫助企業能夠根據其自身的風險概況和優先級制定合適的計劃，以提升軟件安全成熟度。