端玛科技Logo

专业代码审计服务提供商

Professional Code Review service provider

当前位置:首页新闻资讯

BSIMM

2023-08-221568

软件安全构建成熟度模型(BuildingSecurity In Maturity Model,简称BSIMM),是2009年3月正式提出的。BSIMM的核心目的就是对组织所实施的“软件安全举措”进行量化,同时由于实际情况下各种安全措施采用了不同的方法论与专业术语,所以需要一个框架来对这些举措进行统一的描述,这就是BSIMM。


软件安全框架(Software Security Framework,简称SSF)是BSIMM赖以成型的基本结构,它为各种安全活动提供了一个通用的词汇表,来解释“软件安全举措”中的突出要素。这样,即使各种安全措施使用了不同的术语描述,应用于不同领域,存在于不同垂直市场,也可以对它们进行比较。


SSF共有四个域,分别为:监管、智能、SSDL接入点、部署。其中监管域涵盖了能够组织、管理、评价安全活动的措施;智能域包含了这样一些措施,它们能够收集在整个组织内开展安全活动所需的各种知识;SSDL接入点,包含了已经整合到软件安全开发生命周期(SDLC)中的各种软件安全实践,即对软件开发产物、在软件开发过程中所进行的各种分析与保障手段;部署域涵盖了应对传统网络安全与软件维护机制的措施。


SSF共由十二类措施组成:

2.png 


监管:

1.策略与指标

2.遵从与政策

3.培训

智能:

4.攻击模型

5.安全特性与设计

6.标准与要求

SSDL接入点:

7.架构分析

8.代码审核

9.安全测试

部署:

10.渗透测试

11.软件环境

12.配置管理与漏洞管理


BSIMM在SSF的基础上,将每一类安全措施分成三级,在每一级中又包含当前级别应当实现的安全目标,并指出了与之相对应的具体安全活动。根据这种分级策略以及相应的可鉴别的分步实现目标,形成了整个BSIMM成熟度模型。


更多详细信息,请参考:https://www.bsimm.com/



上一篇:FISMA

下一篇: