“对于从事软件开发的企业来说,软件质量和安全是刚性指标之一,而且还是一个持续改善的过程。在这个过程中,需要用到部分工具作为指导,帮助企业提前完成检测甚至是解决问题。”新思科技软件质量与安全部门高级安全架构师杨国梁曾在公开场合一度表示。
新思科技软件质量与安全部门高级安全架构师 杨国梁
基于这个理念,新思科技从一家主业为EDA和IP(集成电子电路辅助设计)的企业,在2014年开始进入软件安全业务领域。
在研发软件各阶段多种安全工具落地的实践中,推出了一款从2008年就持续更新、以客观数据“说话”的评估模型BSIMM。
不同于通常提及的安全开发评估中的指导性模型,新思科技BSIMM可以被认为是描述性模型。
简单来说,BSIMM的最大区别在于并非指导企业如何继续自身的软件安全工序,而是描述企业关于软件安全“目前正在做什么、或者已经做了哪些事儿”。
从现实的角度出发,企业开展业务,涉足SDLC开发生命周期时,起初会遵循,例如微软SDL或者OpenSAMM,开展之后再用BSIMM评估进程如何、做的怎样、还有哪些方面缺失等。