【本报北京讯】新思科技近日发布其最新版本的软件安全构建成熟度模型（BSIMM）——BSIMM12。作为全球企业衡量软件安全的标尺，该模型旨在帮助企业规划、执行、评估和完善其软件安全计划，它反映了观察到的128家公司的软件安全实践，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商、云、医疗保健、物联网等，描述了近3000名软件安全团队成员和6000多名外围小组成员的工作成果。
    “近两年，企业的数字化转型问题颇受关注。而在数字化转型的过程中又叠加各种各样的信息安全的法律法规，在进行数字化转型时不得不考虑到这些信息安全的需求。如何启动软件安全计划，帮企业顺利地合法、合规、合理地完成数字化转型是很关键的，企业可以从BSIMM中得到一些借鉴。”新思科技软件质量与安全部门高级安全架构师杨国梁表示。
    据悉，该项目已从2008年的9家参与企业发展到今年的128家，企业高管可以将其视为在软件安全风险管理框架中实施的控制措施。企业所开展的活动可能会在软件安全计划中起到预防、检测、纠正或补偿控制措施的作用，将这些活动定位为控制措施，便于治理、风险与合规、法律、审计和其他风险管理团队更容易地理解BSIMM的价值。
    该报告发现了一些新趋势：影响广泛的勒索软件和软件供应链中断促使人们更加关注软件安全，在过去两年中，参与评估的企业中，进行“识别开源代码”活动增加了61%；企业开始学习如何将风险转化为数据，企业正更加努力地收集和发布他们的软件安全计划数据；增强的云安全功能。过去两年中，与云安全相关的活动平均有36次新观察结果；软件物料清单活动增加了367%；安全“左移”变为“无处不移”。“左移”的概念侧重于在开发过程中更早地进行安全测试。“无处不移”将安全测试扩展到在整个软件生命周期中持续进行；从维护传统的运营库存转向自动化资产发现和创建物料清单需要添加“无处不移”活动等。（文雪梅）