Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 13/3/2009
Tre sikkerhedsforskere har opstillet en model for, hvordan en organisation kan udvikle sikker software.Modellen består af en række aktiviteter, som man kan udføre for at øge sikkerheden. For hver aktivitet er der et modenhedsniveau, der angiver, hvor langt man er med den. Modellen hedder Building Security In Maturity Model (BSIMM).
Den er udviklet af Brian Chess fra Fortify Software sammen med Gary McGraw og Sammy Migues fra Cigital. De har besøgt en række firmaer, der udvikler software, og interviewet dem om, hvordan de sikrer deres software mod nedbrud og misbrug.
BSIMM er opdelt i fire hovedområder: Governance (ledelse og kontrol), Intelligence (indsamling af viden om bl.a. trusler), SSDL Touchpoints (selve programmeringen og systemudviklingen) og Deployment (når produktet sættes i drift).
I alt omfatter modellen 110 aktiviteter. Folkene bag den understreger, at alle organisationer ikke behøver udføre alle aktiviteter. Men modellen indeholder kun aktiviteter, som rent faktisk blev brugt af organisationerne i undersøgelsen.
BSIMM kan hentes gratis på webstedet for modellen.