編寫程序的最初期就引入安全的概念還處于起步階段，軟件業巨頭微軟公司在這方面做出了貢獻，微軟公司共享了其內部軟件開發生命周期(Software Development Lifecycle)框架免費的模式和工具。Fortify和Cigital結合了目前市場上應用最為成功的九種不同軟體安全標準的長處，研究人員還廣泛的訪問了包括EMC、微軟、Adobe等知名軟體廠商在內的25家廠商，從中吸取了很多軟體安全領域的經驗和教訓，最終形成了構建安全的成熟模式(Building Security In a Maturity Model，BSIMM)，現在金融服務公司開始在BSIMM中分析安全編碼策略和方法。

　　但是在經濟衰退預算緊縮的時期，目前還不清楚是否會有企業愿意投資于安全開發計劃。Forrester研究公司和Veracode的調查發現，45%的公司表示，程序安全是他們整個安全策略的重要組成部分，但是他們會將該計劃推遲到下一個預算周期。大約有18%的企業表示他們的程序安全資金預算將保持不變。

　　資金只是其中一個問題，調整應用程序卡法同樣是企業文化上的大轉變，BSIMM和OpenSAMM發起了安全代碼編寫的新格局，但是將這些概念在企業內廣泛部署并不容易。

　　“這對于安全市場而言是好事，提高了應用程序開發的安全意識，但是企業會部署嗎?這就像早期的網絡漏洞掃描一樣，有太多需要安全專家去部署，”Veracode公司的CEOMatt Moynahan表示，“這是個很難解決的問題。”

　　基于真實世界的安全軟件開發情況，BSIMM建立了企業范圍內軟件安全項目的基準。DTCC公司的首席信息安全官Jim Routh表示，他們公司的內部安全開發計劃為公司節省了勞動力和其他成本。“這些節省的費用可以用于更高價值的活動，”Routh表示，“我們的控制了在開發周期早期出現的缺陷和漏洞。”

　　但是Veracode公司(提供應用程序安全測試服務)的Moynahan表示，單靠BSIMM是不夠的，我們需要的是應用程序安全開發產品能夠進入大眾市場，但是對于缺乏安全知識、資金有限的小型企業而言，他們真的回去部署這些最佳做法么?

　　另一個類似的模式，OpenSAMM(軟件確保成熟模型)也在今日推出，這是一個開源模式，旨在成為行業內安全軟件開發的標準。該模型由OWASP成員Prayir Chandra發起，OpenSAMM最初是由Fortify建立的，后來該公司幫助建立BSIMM。

　　這些建立安全程序計劃的模型，以及國土安全局的Build Security In和其他，也可以作為檢查標準，以確保開發更安全的軟件，執行了更多的掃描工具和滲透測試。“我認為我們開始意識到應用程序需要對整個開發周期的各個階段內進行大量投資，然而很多企業一直希望有更有效的方法能夠解決這個問題，這些成熟模型的推出表明，還需要做很多工作。”ABN AMRO銀行的技術安全評估副總裁Cory Scott表示。

　　良好的開始

　　Scott表示，像BSIMM和OpenSAMM這些模型，對于希望改變的企業來說，都是個好的開始。“這些是成熟模型，不一定是指令性的戰略建議，”Scott表示，“安全應用程序開發需要有利的過程和組織結構，這也是這兩個成熟模型的初衷。”

　　對于如何實現安全程序開發的戰略在某段時間是有效的，如OWASP Top10、19 Sins of Software Security、SAFECode和其他項目等。“我認為有安全意識的項目經歷可以采取成熟模型中的意見，向高層管理人員展示在軟件成熟保證計劃中可能存在的差距，應該在開發初期就引入安全概念。”Scottt表示。

　　但是采用這些應用程序計劃的大型金融公司(如ABN AMRO和DTCC等)都只是例外，在為編寫和運行更安全軟件建立程序時，大多數內部開發人員都不太愿意。Mitre公司的主要信息安全工程師Steve Christey(同時也在參與CVE項目)表示，CVE數據顯示，在主要軟件產品中的漏洞(如微軟公司的產品)，已經變得越來越猖獗。

　　“大型供應廠商(如微軟公司)的漏洞問題每個月都在發布，但是很難檢測出這些漏洞，需要花費大量的時間和投資來發現這些漏洞。這也是衡量軟件是否安全的依據之一，需要花費多久時間來找出軟件中的重大漏洞。”

　　Christey表示，好消息就是這些很難發現的漏洞通常也很難被攻擊者所利用，壞消息就是這使第三方應用程序成為攻擊者的靶心，尤其是在Web 2.0環境，“Web 2.0在開發期間就從來沒有考慮過安全問題，軟件保證必須成為貫穿開發階段的整體思路，但是很多第三方開發商沒有走這條路。”

　　與此同時，像BSIMM這些模型也開始引起了安全代碼開發社區以外的人們的關注。Cigital的CTO Gary McGraw表示，很多公司開始要求加入BSIMM模型，并且Financial Services Technology Consortium已經講BSIMM作為金融公司的檢驗標準。國土安全局同樣也有興趣講BSIMM加入其Build Security In計劃的網站中，“BSIMM不是軟件開發項目的處方，它是關于建設和衡量軟件安全的模型。”

　　這也是讓高層管理人員支持安全編碼計劃的途徑，Fortify公司的Brian Chess表示，“有很多事情并沒有設計寫代碼。”

　　. 那么，企業應該如何使用像BSIMM 和OpenSAMM這些資源呢?你需要搞清楚動機因素以及每種模型后面的主要思想，以確保適合你的企業。微軟公司的第一個SDLC是以產品開發為導向的，他們的SDL優化模型也是如此，但是更加側重于開發。而DHS十億個政府保證模型。

　　雖然多個甚至是重疊的安全軟件程序會造成一些混亂，但安全專家表示，在10年前，這方面的信息少之又少，希望企業們盡早運用這些成熟模型，幫助減少軟件漏洞。