日前，新思科技发布了其最新版本的软件安全构建成熟度模型(BSIMM)报告——BSIMM11，调研结果显示，许多企业正在调整其软件安全计划，以支持数字化转型和DevOps等现代软件开发范例。

BSIMM模型是新思科技软件质量与安全部门推出的面向软件开发安全领域的调研活动，旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM11反应了观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。

BSIMM11描述了8,457名软件安全专家的工作成果，这些成果对超过49万名开发人员有指导作用。

新思科技软件质量与安全部门高级安全架构师杨国梁在接受记者采访时表示，此次发布的BSIMM11报告里，企业在保证软件开发安全的措施出现了新趋势。

趋势一：工程技术导向的软件安全工作正在成功地为实现弹性的 DevOps 价值流贡献力量。

BSIMM11数据表明，持续集成和持续交付(CI/CD)工具和运维编排已成为一些企业软件安全方案的常规操作，并且正在影响SSI的组织、设计和执行方式。例如，软件安全团队越来越多地向技术小组或首席技术官汇报工作（而不是IT安全团队或首席信息安全官），并且正在改变内部招募和组织人才的方式。

趋势二：软件定义的安全管理不再仅仅是一种愿景。

企业采用由CI/CD管道执行中的事件触发的自动化活动替代一些摩擦性高的带外（out-of-band）数据安全活动。将人员流程和决策转换为算法是企业越来越多地解决资源约束和节奏管理问题的方法之一。

趋势三:安全“左移”变为“无处不移”。

“左移”概念的实现已从在软件开发周期中较早地执行一些安全测试的字面解释演变为在有待检查的工件可用时立即执行安全活动。这可能意味着在过去我们认为在左侧（较早期）的安全测试现在大多数情况下可能是在右侧（偏后期，包括生产阶段）。

趋势四：在BSIMM里引入金融科技垂直行业的数据。

在仔细审查了金融行业中不断增长的公司数据池后，很明显有必要添加一个专门面向金融服务的ISV单独的垂直行业。

新的调研报告显示，在过去的一年中，添加到BSIMM10中的三个安全措施（SM3.4 集成软件定义生命周期管理、AM3.3 监控自动化资产创建工作和CMVM3.5 自动验证运营基础运维安全性），采用的企业数量取得了惊人的增长。这反映了一些企业如何积极加速软件安全工作，逐渐向DevSecOps的转变，以适应软件交付的速度。

此外，BSIMM11又添加了两个来自企业的两个新安全措施（ST3.6 自动实施事件驱动的安全性测试，CMVM3.6 发布可部署工件的风险数据），而这显示了上述趋势在延续。

云、物联网和高科技公司是BSIMM11数据池中最成熟的三个垂直行业。BSIMM11还强调了三个受到高度监管的行业之间的差异：金融服务、医疗保健和保险。金融服务行业比其他行业更早地组建软件安全团队，因此与医疗保健和保险行业相比，拥有更为成熟的软件安全实践。

因此，BSIMM11首次归纳金融科技行业的数据，并发现它与金融服务的追踪非常接近，主要的差异（有利于金融科技）体现在培训、安全测试和代码审查实践中。

最新BSIMM11报告下载。