BSIMM(The Building Security In Maturity Model)是由美國Cigital公司(已被Synopsys收購)發(fā)起的一個(gè)軟件安全研究項目,2008年發(fā)布了第一個(gè)版本。其通過(guò)對大量企業(yè)進(jìn)行評估得出的統計數據,進(jìn)行分類(lèi)歸納,形成業(yè)界優(yōu)秀的軟件安全評估模型。截至目前,BSIMM模型已在全球超過(guò)100家公司得到應用,覆蓋多個(gè)縱向領(lǐng)域,包括金融服務(wù)、獨立軟件供應商、技術(shù)公司、云、媒體、安全、通信以及互聯(lián)網(wǎng)運營(yíng)商等,包括微軟、Nokia、Oracle等世界頂級軟件公司。
從2013年開(kāi)始,華為就與Cigital公司開(kāi)展了BSIMM評估,每年抽取產(chǎn)品進(jìn)行安全能力評估,包括安全策略制定、安全培訓、安全架構設計、安全測試等。通過(guò)連續五年的評估和持續改進(jìn),華為軟件安全能力成熟度得到了極大地提升。
Cigital評估顧問(wèn)在本次測評的總結中提到:“華為在軟件安全方面做得比較好,而且是持續性的進(jìn)步。建立好的安全工程能力,需要有人、工具、流程的共同配合,華為在這三方面都有很好的表現。”
華為首席安全架構師付天福認為:“從BSIMM的安全活動(dòng)數據演變中可以發(fā)現,無(wú)論是加入軟件評估的企業(yè)數目,還是各企業(yè)內專(zhuān)業(yè)從事軟件安全的人員比例,都呈現逐年上升的趨勢。這說(shuō)明網(wǎng)絡(luò )安全在產(chǎn)品開(kāi)發(fā)過(guò)程中受到越來(lái)越多的重視。自動(dòng)化、工具化將會(huì )成為軟件安全的基本保障措施,從而將安全人員從重復繁瑣的工作中解脫出來(lái),專(zhuān)注更有創(chuàng )造性的安全活動(dòng)。”
