众所周知，安全行业在当前的高速发展过程中，出现了一些亟待解决的“怪现状”。比如，行业普遍重视“攻”，而忽视“防”，造成防守人才极度匮乏，进而使得攻守失衡。再比如，业界普遍重视“人手”，而轻视“自动化”，让大量的安全工作都是低级重复性的，效率非常低下。

 

这些安全问题遍布在各行各业，金融、医疗，云、保险、零售等行业，为了解决安全问题，许多企业也身体力行。为此，杨国梁先生表示，现如今每家企业都需要明确的软件安全方案来聚焦工作，敏捷、CI/CD或者DevOps既不是软件不安全的原因也不是解决方案，并且软件安全的构建需要不同团队，不同角色，不同流程，不同人来群策群力，就是所谓的DevSecOps。

 

并且伴随着包括新技术，新的安全问题诸如容器&微服务、供应链的安全、开源的安全等问题的出现，会有一些监管要求、合规要求等等这些，所有的一切的东西都在变化中，新漏洞和攻击方式也在不断出现，所以只有一个相对比较完整的软件安全方案（SSI）才能指导你更好的构建你的安全产品，或者指导你做好软件安全的开发的过程。那么，如果企业构建出来的软件安全方案，怎样来评估SSI是否安全呢？杨国梁先生谈到，现在越来越多的企业注重软件安全解决方案的评估和测试，自2008年，新思科技共计对211家企业开展了约500次BSIMM测评，本次也发布了BSIMM11，其非常注重数据的“新鲜度”，相较于前十个版本，BSIMM11强调从安全“左移”变为“无处不移”，工程技术导向的软件安全工作正在成功地为实现弹性的DevOps价值流贡献力量；更广泛使用CI/CD和DevOps；在过去三年BSIMM的模型中，观察到了8个新的活动，其都与DevSecOps有关，所以DevSecOps也是一个明显的增长趋势。此外，软件定义安全管理不再仅仅是一种愿望，软件化的自动化的东西越来越多，而不再是纯粹的依靠人员的管控，像一些所谓pipeline的东西，现在已经不管是软件还是测试本身都变成一些infrastructure基础设施架构级别的一些东西。

 

众所周知，新冠疫情的影响，加速了企业数字化转型的进程，大量线下业务转移到线上，对于BSIMM本身的评估方式也是有变化的，之前是现场评估，现在疫情的影响导致整个评估的工作改为了线上。