著名软件安全专家、知名作者Gary McGraw表示，他正在与另外几十个人合作，以提高应用程序的安全性。McGraw一直在为各家大型公司的软件开发过程进行文档记录，以便弄清楚在企业中如何有效的应用安全。收集起来的数据经过分析和格式处理之后，其中的一些安全方法可供其他公司的开发部门参考使用。

　　“全部结果完全由观察和数据得出，因此，在比较各个公司时它会是一个非常好的参考标准。”Gary McGraw表示，“很多人认为，独立的软件供应商在软件安全方面与金融服务公司有所不同，但事实证明我们错了。”

　　McGraw发布了《在成熟模型中构建安全》（BSIMM）的第二个版本，去年发布的最初BSIMM版本只分析了九个公司，而第二个版本把分析的公司数量扩展到30个公司。McGraw和他的团队（其中包括Sammy Migues、Cigital公司和Brian Chess of Fortify Software公司的专家、负责人）访问了几十家公司，确认了这些公司软件安全过程中的许多相似之处以及明显的不同之处。BSIMM安全框架模型中列出了公司可以采取的109项“行动”，其中包括培训、代码审查、渗透测试以及标准和要求等，并根据公司使用的数量对这些行动进行了排名。

　　McGraw表示，整个行业在加强软件安全方面已经取得了很大的进步。

　　“十五年前，你可能很难找到30家软件安全企业，而现在我们认为我们只涉及到了所知道的企业数量的一半。”McGraw指出，“我们将持续改进BSIMM，而且随着更多的企业加入到研究中来，我们也将继续添加更多的数据。”

　　McGraw团队研究的公司中有数十个公司来自金融服务行业，人们认为这些行业已在软件安全方面领先一步。他们还访问了独立软件供应商中的软件开发专家级企业，其中包括微软，而且他们的访问还涉及到各个行业：技术企业、医疗保健公司、媒体公司和其他公司。团队还采访了几十家著名企业中的专家，其中包括Adobe公司、美洲银行（Bank of America）、Google以及Sallie Mae公司。

　　McGraw表示，BSIMM不同于其他的模型（比如说COBIT最佳实践框架），因为BSIMM不会提出任何建议。批评家认为这些模型只是纸上谈兵，因为当企业想执行建议的时候会感觉到它们满足不了实际需要。但BSIMM列出了收集来的实际数据，从而使企业能够决定哪些地方需要处理。

　　Migues说，“过去有很多约定俗成的东西；他们可以告诉你应该做什么。我们访问了多家公司，并就他们的实际工作建立一个描述性的模型。而我们之所以建立模型，其目的是：让公司可以实际根据这些数据来决定下一步应该做什么，并根据这些数据来和其他公司进行比较。”

　　根据BSIMM团队对所有这30家公司的研究，成功的两个先决条件（30家公司情况都类似）是有一位管理操作的高级管理人员和一个规模相当大的软件安全小组（SSG）。McGraw表示，一般来说，大多数企业差不多每100位代码开发人员就有一位是SSG成员。他还指出，SSG通常在开始的时候需要集中起来，但是随着安全软件开发过程的成熟，他们会分散到企业中去。

　　McGraw指出，“你可能让每个软件小组都使用统计分析工具，或者在QA中使用动态测试工具。虽然SSG有助于这项工作的进行，但是他们不会去审查每一行代码，所以，我们所谈论的是一群从事软件安全工作的人，他们真的很酷。”

　　BSIMM拥有咨询委员会以及年度会议

　　McGraw建立了一个咨询委员会来分享最佳实践行动，并进一步改进此模型。委员会成员包括：微软公司安全工程部门高级主管Steve Lipner、EMC产品安全办公室高级主管Eric Baize、Intel公司产品安全保证部门负责人Jeff Cohen、Nokia公司产品安全部门经理和负责人Janne Uusilehto，以及Adobe产品安全和隐私部门主管Brad Arkin。Cigital公司正计划今年在华盛顿召开一次软件安全会议。