5.BSlMM（BSI成熟度模型）

BSI成熟度模型（Builcling Security In MaturityMoclel，BfflMM）是一個(gè)針對多個(gè)軟件公司的軟件安全項(xiàng)目進(jìn)行研究的模型，該模型對不同軟件安全項(xiàng)目所采取的措施和實(shí)踐進(jìn)行量化，描述其共性和各自的特點(diǎn)。

很多軟件公司二方面希望能構(gòu)建功能強(qiáng)大而又安全的軟件，另外一方面卻不知道該如,(構(gòu)建，沒有其他公司的最佳實(shí)踐作為參考。針對此問題，BMMM分析了多個(gè)真實(shí)的軟件安全項(xiàng)目的實(shí)踐數(shù)據(jù)，提煉出這些軟件公司和軟件項(xiàng)目中的共同特點(diǎn)，其目的是幫助更大范圍的軟件安全公司對其各自的項(xiàng)目進(jìn)行安全規(guī)劃、實(shí)現(xiàn)和評測。因?yàn)锽&MM中分析的原始數(shù)據(jù)來自于當(dāng)前國際上很多著名的大型公司，包括美國銀行( Bank of America)、美國第一資本銀行( Capital One)、微軟(Mic,rosoft)、谷歌(Google)、英特爾(Intel)以及賽門鐵克(Symantec)等，所以其分析結(jié)果體現(xiàn)了當(dāng)今業(yè)界軟件安全技術(shù)的領(lǐng)先水平。而對軟件安全感興趣的公司，可以參考這個(gè)結(jié)果來指導(dǎo)自己的實(shí)際軟件安全開發(fā)實(shí)踐。

BSIMM研究開始于2009年，出版了BSIMM l，當(dāng)時(shí)對來自軟件廠商、技術(shù)公司和金融服務(wù)業(yè)界的9個(gè)頂尖軟件安全項(xiàng)目進(jìn)行了數(shù)據(jù)收集和分析；2010年，BSIMM 2公布，該版本對30個(gè)軟件公司的軟件安全項(xiàng)目進(jìn)行了數(shù)據(jù)收集和分析；2011年，B&MM 3發(fā)布，該版本對每個(gè)軟件安全項(xiàng)目所研究的內(nèi)容全面更新考察要求，并將被研究的公司數(shù)量增加到42個(gè)。