网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

首先在技术方面，BSIMM模型的框架主要有四个领域组成，Governance指的是治理的部分；Intelligence指的是一些情报；SSDL Touchpoints指在这个SDL开展的过程中，那些触点有没有做好，那些该做的事情的位置、时间点这些设计是否足够好，比如架构、分析、代码或者各种各样的安全测试，包括渗透测试等等之类的；Deployment就是在部署阶段。

这四个领域下分别对应了12个不同的practice。12个practice下面还有113个具体的安全事件。通过这113个具体的安全事件，新思科技也可以向企业揭示如何在开发软件的过程中，把各个方面都权衡、考虑到之后，才能比较好确保软件安全方面的成熟度。

其次在信息分享方面，BSIMM的优势不仅体现在技术方面，软件企业既想与行业其他厂商进行对比，又不希望自己的得分暴露给其他人。新思科技从两个方面保证了用户的隐私安全，一方面新思科技内部能够做BSIMM评估的人是通过非常严格的遴选，分别负责不同的企业，最后再由不同的负责人汇总、脱敏、分析。另一方面一些领先企业愿意分享自己是怎么开展应用安全的管控，包括整套安全机制。

再次在成本控制方面，从开展一个安全事件的落地之类来说，成本或者开销是一个很大的考虑，BSIMM在帮企业做完评估之后，它能告诉企业这方面的资源投入了多少，那方面的资源投入了多少。它会结合企业业务形态，能够帮企业分析出哪方面成本花得比较多，开销比较多，哪方面是不是可以稍微节制一点，哪方面做得不太好的是不是可能再多花一点等。

最后，BSIMM是一种帮企业缓解顾虑的工具。因为它做完评估之后，就会给企业的高层或者管理层一个计划时间，显示出哪几方面做得不好，做得不好的方面应该多投入一些预算、资源。所以基于BSIMM，还有一个安全成熟度提升计划的东西，帮企业做一个比如两年的规划，企业对于做的不好的那几个方面，这两年之内要怎么样投入你的资源，怎样把它的能力做上来。

新思科技软件安全检测成果颇丰

正如Olli Jarva在采访中讲到的那样，到现在为止，BSIMM评估了146家不同的公司，在最新的版本BSIMM8中，新思科技评估了109个安全的开展计划。其中从头开始到现在，总共做了321次独立的评估，其中就有36家公司超过一次做过BSIMM评估，其中最多的一家做过5次以上。

新思科技希望鼓励客户通过设立一个社区，大家参加过BSIMM评估的或者想要有意把安全在企业内做好的企业，大家一起互相讨论，互相交流，怎么样把信息安全这件事情做的更好。

谈及与客户的合作，Olli Jarva以华为举例表示：“企业ICT解决方案进入市场时，确保其安全性并保护客户的数据和隐私至关重要。与新思科技合作进行BSIMM评估，彰显了华为致力于为客户提供世界级安全水准的ICT产品的决心。”

写在最后

正如采访中杨光磊讲到的那样，BSIMM评估的价值可能体现的不是那么直接，但是用户在使用安全产品的安全性上可以体现。因为这个过程，BSIMM评估最终价值是会延伸到产品，让用户所使用的产品漏洞更少。另外，它可能确实能给企业带来相应的安全保护。从这个角度来说，在云基础设施整个产品开发过程中，企业不断的进行相应的设计安全措施，可以保证企业的云基础设施尽量少造成因为漏洞而引起的服务中断或者服务中止，给客户带来损失。