BSIMM(The Building Security In Maturity Model)是由美国Cigital公司(已被Synopsys收购)发起的一个软件安全研究项目,2008年发布了第一个版本。其通过对大量企业进行评估得出的统计数据,进行分类归纳,形成业界优秀的软件安全评估模型。截至目前,BSIMM模型已在全球超过100家公司得到应用,覆盖多个纵向领域,包括金融服务、独立软件供应商、技术公司、云、媒体、安全、通信以及互联网运营商等,包括微软、Nokia、Oracle等世界顶级软件公司。
从2013年开始,华为就与Cigital公司开展了BSIMM评估,每年抽取产品进行安全能力评估,包括安全策略制定、安全培训、安全架构设计、安全测试等。通过连续五年的评估和持续改进,华为软件安全能力成熟度得到了极大地提升。
Cigital评估顾问在本次测评的总结中提到:“华为在软件安全方面做得比较好,而且是持续性的进步。建立好的安全工程能力,需要有人、工具、流程的共同配合,华为在这三方面都有很好的表现。”
华为首席安全架构师付天福认为:“从BSIMM的安全活动数据演变中可以发现,无论是加入软件评估的企业数目,还是各企业内专业从事软件安全的人员比例,都呈现逐年上升的趋势。这说明网络安全在产品开发过程中受到越来越多的重视。自动化、工具化将会成为软件安全的基本保障措施,从而将安全人员从重复繁琐的工作中解脱出来,专注更有创造性的安全活动。”
