隨著5G、邊緣計算、大數據以及物聯網的快速發展，無人駕駛、智能工廠全面普及，人人互聯、機機互聯，甚至人機互聯成為可能，在信息化迅速發展的今天，軟件應用服務正滲透到各行業和領域，軟件應用自身的安全問題也成為焦點。

當前全球安全事件頻發，代碼程序漏洞是關鍵誘因之一。程序的安全漏洞需要盡早被發現，如果運行中的系統被曝出漏洞，企業會付出比安全前置更高的修復代價。根據美國國家標準與技術研究所（NIST）的統計，在發布后執行代碼修復，其修復成本相當于在設計階段執行修復的30倍。所以為了避免安全漏洞出現造成的巨大損失，軟件安全方案的制定就成為了企業發展過程中的重中之重，那么如何來制定軟件安全方案來確保企業內部的正常運轉呢？如何確保軟件安全方案是否安全？帶著這些問題，我們采訪到了新思科技軟件質量與安全部門高級安全架構師楊國梁先生，聽他為我們深度解讀軟件安全的相關疑問。

眾所周知，安全行業在當前的高速發展過程中，出現了一些亟待解決的“怪現狀”。比如，行業普遍重視“攻”，而忽視“防”，造成防守人才極度匱乏，進而使得攻守失衡。再比如，業界普遍重視“人手”，而輕視“自動化”，讓大量的安全工作都是低級重復性的，效率非常低下。

這些安全問題遍布在各行各業，金融、醫療，云、保險、零售等行業，為了解決安全問題，許多企業也身體力行。為此，免備案主機，楊國梁先生表示，現如今每家企業都需要明確的軟件安全方案來聚焦工作，香港服務器租用，敏捷、CI/CD或者DevOps既不是軟件不安全的原因也不是解決方案，并且軟件安全的構建需要不同團隊，不同角色，不同流程，不同人來群策群力，就是所謂的DevSecOps。

并且伴隨著包括新技術，新的安全問題諸如容器&微服務、供應鏈的安全、開源的安全等問題的出現，會有一些監管要求、合規要求等等這些，所有的一切的東西都在變化中，新漏洞和攻擊方式也在不斷出現，所以只有一個相對比較完整的軟件安全方案（SSI）才能指導你更好的構建你的安全產品，或者指導你做好軟件安全的開發的過程。

那么，如果企業構建出來的軟件安全方案，怎樣來評估SSI是否安全呢？楊國梁先生談到，現在越來越多的企業注重軟件安全解決方案的評估和測試，自2008年，新思科技共計對211家企業開展了約500次BSIMM測評，本次也發布了BSIMM11，其非常注重數據的“新鮮度”，相較于前十個版本，BSIMM11強調從安全“左移”變為“無處不移”，工程技術導向的軟件安全工作正在成功地為實現彈性的DevOps價值流貢獻力量；更廣泛使用CI/CD和DevOps；在過去三年BSIMM的模型中，觀察到了8個新的活動，其都與DevSecOps有關，所以DevSecOps也是一個明顯的增長趨勢。此外，軟件定義安全管理不再僅僅是一種愿望，軟件化的自動化的東西越來越多，而不再是純粹的依靠人員的管控，像一些所謂pipeline的東西，現在已經不管是軟件還是測試本身都變成一些infrastructure基礎設施架構級別的一些東西。

眾所周知，新冠疫情的影響，加速了企業數字化轉型的進程，大量線下業務轉移到線上，對于BSIMM本身的評估方式也是有變化的，之前是現場評估，現在疫情的影響導致整個評估的工作改為了線上。

談到做BSIMM測試的企業，楊國梁先生表示，目前做測試的國外的企業居多，中國企業占比較少，并且行業屬性比較垂直。在這些測試的行業中，云、物聯網和高科技公司是BSIMM11數據池中最成熟的三個垂直行業。BSIMM11還強調了三個受到高度監管的行業之間的差異：金融服務、醫療保健和保險。金融服務行業比其他行業更早地組建軟件安全團隊，因此，與醫療保健和保險行業相比，擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業的數據，并發現它與金融服務的追蹤非常接近，主要的差異體現在培訓、安全測試和代碼審查實踐中。

訪談最后，楊國梁先生談到，在國家和各企業高度重視軟件安全問題的情況下，BSIMM將根據技術的安全等問題的出現不斷進行更新和升級，幫助企業掌握軟件安全方案的現狀，提供視圖的可視性；衡量新的軟件安全的方法；評估企業自身的軟件安全方案策略；建立衡量軟件安全方案進展的方法，給出企業提升的建議；展示軟件安全的狀態，收集具體細節，以向公司高層或董事會說明安全方案如何發揮作用。