bsimm10-cn.docx（官方）

BSIMM 是对现实世界中软件安全计划开展多年研究的结果。BSIMM10 模型是我们基于从 122 家企业中观 察到的数据直接构建而成。本文在“致谢”部分列出了这些公司。（bsimm10-作者：Sammy Migues、John Steven 和 Mike Ware ） ### BSIMM10 关键知识点解析 #### 1. BSIMM10 概述 - **定义**: BSIMM (Building Security In Maturity Model) 是一项针对现实世界中软件安全计划进行深入研究的成果。它通过分析来自122家企业的数据，构建了一个描述这些企业在软件安全方面采取措施的模型。 - **版本**: BSIMM10 作为该系列的最新版本，包含了更加丰富和详尽的数据分析与案例研究。 #### 2. BSIMM10 的构建基础 - **数据来源**: 通过对122家企业的软件安全计划进行观察和研究，这些企业覆盖了不同的垂直市场，包括金融、科技、医疗等多个领域。 - **参与企业**: 包括Adobe、Aetna、Alibaba等知名公司，这些企业通过参与研究贡献了宝贵的数据和经验。 - **研究团队**: Sammy Migues、John Steven 和 Mike Ware 等专家负责研究工作。 #### 3. BSIMM10 的核心概念 - **软件安全框架 (SSF)**: 为了描述不同软件安全计划中的活动，BSIMM 使用了一个统一的框架——SSF。这个框架提供了标准化的语言，使得即使是在不同环境下运行的软件安全计划也能被有效地比较和评估。 - **活动级别划分**: BSIMM10 将软件安全活动划分为三个级别（第1级、第2级、第3级），反映了这些活动在组织中的常见程度。这一划分有助于组织识别其当前的位置以及未来可能的发展方向。 #### 4. BSIMM10 的关键特性 - **全面性**: 成熟的软件安全计划通常会涵盖BSIMM模型中定义的所有12项实践活动。这意味着它们不仅关注单一的安全领域，而是实现了全面的安全管理。 - **持续改进**: 数据显示，随着时间的推移，软件安全计划也在不断演进和发展，以应对新的威胁和技术挑战。 - **适应性和灵活性**: BSIMM10 不是一套僵化的标准，而是一个灵活的工具，允许企业根据自身需求定制适合自己的软件安全策略。 #### 5. BSIMM10 的应用 - **基准比较**: 组织可以通过比较自己与BSIMM模型中的其他企业，了解自身的软件安全实践处于何种水平，并据此制定改进计划。 - **指导规划**: BSIMM10 提供了一套实用的方法论，帮助企业识别哪些活动对其特定情况最为重要，并据此进行资源配置。 - **促进沟通**: 通过使用共同的语言和框架，BSIMM10 帮助不同部门之间就软件安全问题进行有效沟通。 #### 6. BSIMM10 的许可协议 - **知识共享署名—相同方式共享 3.0 许可协议** (Creative Commons Attribution-ShareAlike 3.0 License): 这意味着任何人可以自由地分享、修改和使用BSIMM10的内容，只要保留原作者的信息，并且以相同的方式分享修改后的作品。 #### 7. 结论 BSIMM10 作为一种成熟的模型，为企业提供了评估和改进软件安全计划的有效工具。通过使用BSIMM10，组织不仅能更好地理解自身在软件安全方面的现状，还能明确未来的改进方向。此外，BSIMM10 的开放性和灵活性确保了它能够适应不断变化的技术环境和安全威胁。对于任何希望提升软件安全性的组织来说，BSIMM10 都是一个不可或缺的资源。