软件安全构建成熟度模型（BSIMM）是面向软件安全计划的研究框架。通过量化多家不同企业的做法，我们能同时发现许多企业的共同点以及彰显个性的不同之处。我们旨在帮助更广泛的软件安全机构规划、实施和衡量他们自己的软件计划。BSIMM 不是“行动”指南，也不是万能的工具，而是对当前软件安全状态的体现。本演讲首先将简要介绍软件安全计划的功能和重要性。然后将解释我公司模型和我们用于量化软件计划状态的方法。自 BSIMM 调研从 2008 年首次亮相以来，我们共对开展了 321 项不同评估的 146 家公司进行了调研——有些公司使用 BSIMM 来评估每一个业务部门并对某个业务部门进行不止一次评估。为确保我们报告的数据的始终有用，我们已将超过 42 个月的评估结果从 BSIMM8 中排除。目前的数据集由收集自 109 家公司的 256 项不同活动的评估数据组成。反复评估令我们不仅能够报告受访企业当前的软件安全计划，而且还能报告某些计划的多年演进方式。基于多年的 BSIMM 实践体验，我们发现评估企业的软件安全计划是可以实现且非常有用的。企业可基于 BSIMM 评估结果来规划、构建并演进软件安全计划。随着时间的推移，参与 BSIMM 的公司，其软件安全计划将出现显著改进。