0x00 背景
構建安全成熟度模型 (BSIMM) 是一種數據驅動的模型,採用一套面對面訪談技術開展 BSIMM 評估,唯一目標就是觀察和報告。企業通過參與 BSIMM 的評估,不僅可以更加具體的瞭解自身 SSI 的執行情況,還可以從行業視角明確所處的具體位置。
BISMM 模型,是一把衡量企業在軟件開發階段構建軟件安全能力的標尺。BSIMM 軟件安全框架(SSF)包含四個領域 — 治理、 情報、 SSDL 觸點和部署。反過來,這四個領域又包括 12 個實踐模塊,這 12 個實踐模塊中又包含 119 項 BSIMM 活動。
0x01 目標
BSIMM 的最重要的用途是作爲一個標尺來確定您目前採用的方法相對於其他企業處於何種位置。您只需要搞清楚您已經開展了哪些活動,然後在 SSF 中找到這些活動,然後再構建您的記分卡。針對全部 119 項活動開展直接比較也許是 BSIMM 最顯而易見的用途。如想開展此類比較,您可以構建您的記分卡,然後再將其與 BSIMM10 進行比較。
一旦確定了您的活動處於什麼地位,您就可以制定出一套計劃,利用 BSIMM 中包含的其他活動來增強相關實踐, 或者可能將現有活動擴展到更多的軟件組合。 通過提供來自實地的實際評估數據, BSIMM 能夠讓您針對軟件安全計劃(SSI)做出長期規劃,並根據該規劃來跟蹤進展情況。
請注意,沒有什麼必然的理由一定要採用每個實踐模塊中各個級別的全部活動。只需要採用對您的組織機構有意義的活動即可,可以忽略那些沒有意義的活動,但應當定期重新審查這些選擇。 一旦採用了活動集,大多數組織就會根據他們對相關風險的看法,開始研究每項活動的深度、廣度和成本效益。
一項有意義的比較是,畫出您自己企業的高水位標記,然後與我們發佈的平均值進行比較,看看您的企業相比之下到底如何。
0x02 BSIMM10 的框架
0x03 BSIMM10 的輪廓
0x04 參考資料
BSIMM 官方: https://www.bsimm.com/zh-cn.html
BSIMM資源:https://www.bsimm.com/zh-cn/resources.html
相關的記分卡、框架表格:https://download.csdn.net/download/qq_29277155/12005737