BSIMM：构建安全软件的成熟模型

"藏经阁-(BSIMM)-构筑坚若磐石的安全软件.pdf" 提供了一个关于软件安全的深入探讨，主要围绕Building Security In Maturity Model (BSIMM)展开，该模型旨在帮助企业构建更为坚固的安全软件。文档中提到了当前软件安全的挑战、BSIMM的概念、构建方法以及软件安全的演进趋势。 软件安全的现状：现代软件面临着无时无刻不在的风险，漏洞可能深藏其中，难以通过常规工具和方法检测。此外，随着自动化攻击的增加，单一漏洞可能引发大规模攻击，例如交通信号灯系统被同时攻破。远程攻击的普遍性使得追踪和指控变得困难，而软件安全环境的不断变化，如敏捷开发、DevOps、云服务和开源软件的广泛应用，都对测试和防御策略提出了新的要求。 BSIMM（Building Security In Maturity Model）：BSIMM是一种度量和指导软件安全实践的模型，它提供了从初级到高级的软件安全实施步骤。该模型帮助企业了解其在软件安全方面的成熟度，并规划改进路径。 构建BSIMM：BSIMM的构建涉及多个阶段，从开始阶段的渗透测试和合规驱动，到优化阶段的集成开发运维（DevOps）和混合测试流程。在这一过程中，企业需要采用各种工具和技术，例如静态代码分析、软件组成分析、模糊测试、交互式应用安全测试等，以增强软件的安全性。 软件安全的趋势：随着新的开发理念和方法（如敏捷和DevOps）的推进，企业需要利用可扩展的托管服务，并建立有针对性的战略性软件安全计划。这包括在计划设计与开发阶段引入多种工具，如Web应用测试、手机应用测试、网络渗透测试等，以及定制化的安全实践，如架构与设计审查、安全编码规范、内部威胁检测等。 成熟行动计划（MAP）、指标制定和整体软件安全计划（SSIB）：这些是BSIMM模型的核心组成部分，帮助企业评估现状，设定明确的目标，制定指标来跟踪软件安全计划的效果，并根据不断变化的开发和部署环境进行调整。通过这些步骤，企业可以逐步在成熟模型中构建安全，确保软件在整个生命周期中都能抵御不断演变的威胁。 BSIMM提供了一套全面的方法论，帮助企业应对软件安全的挑战，通过持续演进的策略和实践，构建出能够抵御现代威胁的安全软件。