The Building Security In Maturity Model
(BSIMM) er et forsøk på å måle hvordan bedrifter jobber med programvaresikkerhet. Å måle sikkerheten til et gitt program er vanskelig, så BSIMM prøver i stedet å gi et bilde på hvilke aktiviteter innenfor sikker programvareutvikling forskjellige virksomheter bedriver. BSIMM gir ikke noe fasitsvar, men kan gi en indikasjon på hvordan man ligger an sammenlignet med “bedrifter vi liker å sammenligne oss med”.
BSIMM er delt inn i 12 “praksiser”, som det fremgår av tabellen under:
Ved å klikke på feltene i tabellen, kan man få mer informasjon. Hver praksis har flere underaktiviteter, gruppert i 3 nivåer. Som et eksempel, kan man her se hvordan de “beste” virksomhetene dekker de forskjellige aktivitetene:
Som sagt, dette er ikke ment å være en fasit, der alt rett er nivå 3 på alle praksiser, men det kan gi en indikasjon dersom man kan se at andre virksomheter i samme bransje er vesentlig bedre enn egen virksomhet innen (f.eks.) kodegjennomgang. Da må man spørre seg: Kaster alle andre tid og penger ut av vinduet, eller har de skjønt noe som du ikke har fått med deg?
Gary er på jakt etter flere bedrifter som ønsker å finne ut hvordan de ligger an i forhold til programvaresikkerhet – er dette noe for dere? Vi formidler gjerne kontakt!
Se forøvrig denne artikkelen fra fjorårets CD-ARES konferanse:
Martin Gilje Jaatun: “Hunting for Aardvarks: Can Software Security be Measured?” CD-ARES 2012: 85-92
Se her for neste bloggartikkel om BSIMM.
For enda mer informasjon, se Gary’s innlegg med påfølgende intervju på HP Protect konferansen for noen uker siden:
http://www.youtube.com/watch?v=LFDNMGgKfRA
http://www.youtube.com/watch?v=zwoO2fLQyIc
Bilde av Gary McGraw fra Defense Against the Dark Arts,
University of Virginia Computer Science Department