2012年9月发布的《在成熟模型中构建安全》（BSIMM）的第四版本被媒体大肆宣传，BSIMM4包含对英特尔和富达案件的详细的案例分析。笔者认为BSIMM的重要性在于—它是唯一可用于衡量软件安全计划的数据驱动模型。BSIMM从事实出发，详细描述软件安全状态。

　　但BSIMM没有提供直接的建议来指导你的公司如何处理软件安全问题。诚然，绝大多数企业才刚刚开始面对软件安全，他们将受益于多年（集体）直接经验的可操作性指导。

　　根据在该行业多年的经验以及四年解译BSIMM数据的经验，笔者提出了软件安全十诫。

　　软件安全十诫：规范性指导

　　0．你应该通过软件安全组（SSG）来建立软件安全计划（SSI）。

　　1．你应该依赖采用BSIMM的风险管理和客观测量来定义SSI的成功来确定SSI的成功，而不是“前十名列表”和漏洞数量。

　　2．你应该与企业高管沟通，直接将SSI的成功与业务价值联系，并与公司的竞争对手作比较。

　　3．你应该创建和采用SSDL方法，如微软SDL或者Cigital Touchpoints，这些方法整合了安全控制（包括架构风险分析、代码审查和渗透测试）以及比他们自己运行的工具还更了解软件安全的人员。

　　4．你不应该将软件安全活动仅限于技术SDLC活动，尤其是渗透测试。

　　5．你应该为你的SSG发展培养软件安全专家（因为周围没有足够的合格专家）。

　　6．你应该关注来自业务、运营和事件响应人员的情报信息，并相应地调整SSI控制。

　　7．你应该仔细追踪你的数据，并指导数据的位置，无论你的架构多么云计算化。

　　8．你不能单纯地依靠安全特性与功能来构建安全的软件，因为安全是整个系统的新兴资产，它依赖于正确地建立和整合所有部分。

　　9．你应该修复已识别的软件问题：漏洞和缺陷。