BSIMM是一种度量软件是否安全的尺度，可以通过BSIMM标准实现BSIMM本身的安全开发建设。软件安全框架：支承BSIMM的基础建设由12个实践模块组成，分为4个领域，分为4个部分；

软件安全小组：内部工作小组，其职责是执行和推进软件安全工作；软件安全计划：一个涉及整个组织机构的项目，该项目旨在以一种协调的方式进行软件安全活动的灌输、评估、管理和发展。4个领域12种软件安全框架实践模式：

控制：帮助组织、管理和评估软件安全计划的实践，人员培训是控制领域的一个核心实践。

信息：将企业的知识集中到一起进行软件安全活动的实践，前瞻性的安全指导和威胁建模都属于这个领域。

sdl接触点：分析和保证具体软件开发工作和过程中的相关实践。

部署：处理传统网络安全和软件维护组织的实践，软件配置、维护和其他环境问题，直接影响软件安全。

安全工程能力建设中常见问题的解决方案，存在的问题1：业务上线时间紧，压力大，修复安全漏洞占用时间过长，影响业务上线进度。为了避免安全工作成为开发的瓶颈，应尽可能将安全测试技术与现有系统结合起来。比如，在IDE上直接融合SpotBugs插件，开发者在编译时会得到修改漏洞源代码的提示；在管理第三方组件漏洞时将BlackDuck与Maven仓库结合起来，业务人员无需干预就能解决Java库的安全问题；在向GitLab提交源代码时，加入Gitrob，以便自动扫描密钥、密码等敏感信息，从而避免泄漏；在CI平台上融合FacebookInfer，比如Jenkins，以形成扫描集群，以自动检测源代码漏洞，并编写Python脚本，将漏洞信息发送到JIRA，提醒研发人员进行修复，跟踪漏洞修复进程。

第二个问题：关于安全漏洞的错误报告。

自动安全测试系统在使用过程中可能会出现误报问题，针对此问题可设计误报反馈功能，组建专职安全团队，提供安全技术支持，使之参与到检测规则的不断优化中来，经过几轮迭代后，基本可以解决误报问题。问题三：公司对员工的工作没有量化指标，部分研发人员的责任感不强，对漏洞的修复态度漠不关心，从而留下了很多安全隐患。制定相关的漏洞修复流程体系，将源代码质量与KPI联系起来，对存在安全隐患的员工按照出现的漏洞等级进行处罚。配合质量保证小组定期发送项目质量报告，最后将安全漏洞数据汇总到源代码质量管理平台。在KPI指标中设置漏洞修复，以提高开发者修复安全漏洞的积极性。安全计划和需求往往会对企业的发展造成阻碍。

在安全方案和需求的设计中，安全团队不应以省时省事，少负责任为出发点，这样会妨碍业务的发展，降低效率。安全方案和需求集，应该是既能保证安全又能减少甚至不减少业务发展，这样的方案和需求才能被业务和开发运营团队所接受。