夜雨聆风
全球软件安全领域最具权威性的行业基准模型——软件安全构建成熟度模型(BSIMM, Building Security In Maturity Model) 迎来第16版正式更新。
作为全球唯一基于真实企业软件安全实践的描述性成熟度模型,BSIMM始终是全球企业衡量自身软件安全建设水平、对齐行业最佳实践、规划安全能力演进路径的核心参考。
为帮助国内从业者、企业安全团队快速掌握全球软件安全领域的最新趋势与落地方法,开源安全研究院组织社区志愿者完成了《BSIMM16》完整中文翻译工作,现正式向全行业开放报告下载。
关注开源安全研究院微信公众号,回复 BSIMM16 即可下载全球软件安全成熟度基准BSIMM16中文社区翻译报告、英文原版报告。
关于BSIMM:
软件安全建设的“行业镜像”
BSIMM诞生于2008年,是一款非规定性、数据驱动的软件安全成熟度模型——它不预设“标准答案”,而是通过对全球企业真实软件安全实践的观察、统计与分析,提炼出全行业通用的安全活动框架,帮助企业对照行业现状定位自身水平、规划建设方向。
本次发布的BSIMM16,基于全球111家不同行业、不同规模企业的软件安全计划数据构建,累计覆盖全球超304家组织、3700+专职软件安全人员、6500+安全倡导者,是目前全球样本量最大、行业覆盖最广的软件安全实践基准。
BSIMM将软件安全能力划分为治理、情报、软件安全开发生命周期关键介入节点、部署四大领域,延伸出12个实践域、128项具体安全活动,覆盖从战略规划、人员培训到设计、开发、测试、运营的全生命周期。
BSIMM16核心趋势:
AI与合规重塑软件安全格局
1. AI/LLM重构应用安全优先级
大语言模型辅助编码的普及,正在成为软件安全的新变量。BSIMM16数据显示,全球企业正在从技术、流程、人员多维度应对LLM带来的安全挑战:
人员准备先行:企业通过风险分级明确LLM生成代码的适用范围,对应活动「使用风险方法论对应用进行排名」年增长12%;同时通过攻击情报收集识别LLM相关漏洞,「收集并使用攻击情报」活动年增长10%。
工具适配升级:针对LLM生成代码的特性,企业加速定制自动化代码审查规则,「在自动化代码审查工具中使用自定义规则」活动年增长10%。
2. 全球监管倒逼安全能力落地
以欧盟《网络韧性法案(CRA)》为代表的全球软件安全监管,正在推动企业从“被动合规”转向“主动建设”,多项合规相关安全活动出现爆发式增长:
供应链安全成为刚需:「为已部署软件创建物料清单(SBOM)」活动观察量增长近30%,「自动化验证运营基础设施安全性」增长超50%,成为企业满足监管要求的基础能力。
开发环境安全受重视:「保障开发工具链的安全完整性」增长12%,「保障开发终端的安全完整性」增长6%,企业开始从源头管控软件供应链风险。
漏洞管理体系升级:「简化接收到的负责任漏洞披露流程」增长超40%,「安排定期渗透测试以覆盖应用程序」增长近20%,对齐监管对漏洞响应的强制要求。
合规文档体系完善:「构建软件合规证据链」增长超20%,「为技术栈创建标准」增长超40%,企业开始建立可审计、可追溯的合规支撑体系。
3. 软件安全培训告别“大水漫灌”
BSIMM16数据显示,传统的长课时、全员式安全意识培训占比持续下降,碎片化、即时化、角色化的培训模式正在成为主流:
企业开始通过开放协作渠道提供即时安全专业支持,「通过开放协作渠道提供专业知识」活动占比大幅提升;
基于企业自身历史漏洞、攻击案例的定制化短培训(5-10分钟短视频、邮件简报),替代了传统的长周期课程,实现“即学即用”;
安全倡导者计划的价值进一步凸显,96%的高分企业都建立了安全倡导者体系,成为安全能力落地到开发团队的核心纽带。
BSIMM16核心价值更新
除了趋势洞察,BSIMM16也在框架适配、落地指导上完成了重要升级,更贴合当前企业的安全建设需求:
1. 对齐NIST SSDF最新标准
BSIMM16更新了与NIST SP 800-218《安全软件开发框架(SSDF)》的映射关系,修正了活动编号变更带来的对应偏差,同时补充了新增安全活动与SSDF任务的映射,帮助企业更好地对齐国际合规标准。
2. 明确AI/ML安全建设6项核心抓手
针对企业最关注的AI/ML软件安全,BSIMM16明确了6项可直接落地的核心活动,覆盖从标准制定、攻击防护到设计、供应链、代码审查的全流程:
创建控制和指导新技术采用的标准:建立AI开发的安全准入规则
收集并使用攻击情报:跟踪LLM相关新型攻击方式
创建特定技术的攻击模式:构建AI场景专属的威胁库
成立评审委员会以批准和维护安全设计模式:沉淀AI应用的安全设计方案
建立全链路软件供应链风险管理体系:管控第三方AI服务的供应链风险
强制所有项目进行代码审查:兜底LLM生成代码的安全质量
3. 全阶段的软件安全建设路径
BSIMM16将企业软件安全计划划分为初建、成熟、赋能三个阶段,针对不同阶段给出了清晰的建设路线图与优先级建议,无论是从零搭建安全体系的企业,还是希望优化现有安全能力的组织,都能找到可参考的实践路径。
中文翻译报告开放下载
本次开源安全研究院发布的《BSIMM16》中文社区翻译版,完整保留了原版报告的全部内容:
报告适合企业安全负责人、DevSecOps团队、软件架构师、合规审计人员学习使用,帮助大家快速对齐全球软件安全的最新行业水平。
关注开源安全研究院微信公众号,回复 BSIMM16 即可下载全球软件安全成熟度基准BSIMM16中文社区翻译报告、英文原版报告。
