在构建软件时牢记安全，保护软件就会变得更加容易。而且，安全是财产而不是杂物，所以软件安全涉及的内容远远不止于简单地在软件中添加 SSL或密码等功能。执行软件安全计划需要专业的人士以及内部多个部门的配合。此外，企业也需要大开眼界，取长补短，这样可以更有效地确保其软件安全计划朝着正确的方向进行。参照同行及跨行业的真实数据是一种行之有效的方法。

　　通过提供实际数据，新思科技的软件安全构建成熟度模型BSIMM 能够面向软件安全计划制定一份长期计划，并跟踪计划进度。企业可以利用这些实际数据改善自身的软件安全计划。这样的软件安全计划才能经得起业绩目标的考验。

　　美国新思科技公司(Synopsys, Nasdaq: SNPS)发布其最新版本的软件安全构建成熟度模型--BSIMM9。该模型旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM9是软件安全构建成熟度模型(BSIMM)的第九个版本，收集了120家企业过去10年的真实数据。BSIMM9强调了云转型的影响和软件安全社区的发展，并且在数据库中纳入了新的垂直行业 - 零售业。请点击链接下载BSIMM9报告：https://www.bsimm.com/zh-cn/download.html

　　甲骨文公司旗下云ERP系统NetSuite基础设施和安全高级副总裁Brian Chess博士表示：开发、安全和运营团队需要步调一致，BSIMM9提供的数据表明这是通过自动化进行的，特别是当软件迁移到云端时。这是朝着正确方向迈出的巨大一步：同时提高速度和安全性。"

　　BSIMM9描述了7,800多名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。参与BSIMM9调研的企业来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网、保险及零售业。

　　BSIMM9 报告的主要发现包括：

　　云转型：企业正在将其工作负载和开发流程迁移到云端 - 这种模式转变需要采取不同的软件安全措施。新思科技在评估过程中发现了三种直接或间接与云转型有关的新活动并将它们加入到BSIMM报告。此外，在独立软件供应商、物联网公司和云计算公司（三个最突出的垂直行业）观察到的多种活动已开始融合，这表明通用云架构需要类似的软件安全方法。

　　BSIMM应用在不同垂直行业：BSIMM可用来比较同一行业以及不同垂直行业之间的软件安全计划。 BSIMM9数据中纳入了一个新的垂直行业--零售业。随着电子商务模式的崛起，保持软件安全对促进零售业健康发展至关重要，因此软件安全计划在这个行业的发展相对更快一些。零售业在安全方面已经比医疗保健和保险业更加成熟。

　　评估规模扩大：BSIMM8收集的数据来自109家公司，BSIMM9增加到120家。参加BSIMM9评估的软件安全从业人员数量增长了65％，开发人员数量增长了43％。BSIMM规模的大幅提升也反映了软件安全正在成为日益重要的优先事项。

　　新思科技安全技术部副总裁Gary McGraw博士表示："BSIMM提供真实的数据参照，已经成为评估和改进软件安全计划的可靠标准。凭借BSIMM，用户可以将自己的软件安全计划与世界上其它一些成熟的公司作对比。BSIMM9凝聚了新思科技10年来在软件安全领域观察工作的结晶，汇集了该领域最大规模的客观数据。"

　　BSIMM对已经建立真正软件安全计划的企业进行观察，描述了116项可付诸实践的活动，通过量化不同企业的做法，能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面，开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较，由此决定哪些活动是可能有用的，可以支持其整体策略实施。