BSIMM（Building Security In Maturity Model）

BSIMM（Building Security In Maturity Model）とは、ひとことで言えば、複数企業のセキュアソフトウェア開発活動を実態調査し、業界ベンチマークとして体系化した成熟度モデルです。Cigital（現Synopsys）が2008年から毎年発表しており、ガバナンス・インテリジェンス・SSDLタッチポイント・デプロイメントの4ドメイン12プラクティスで構成されます。「あるべき論」ではなく「実際にどの企業が何をしているか」を可視化する記述的（descriptive）モデルである点が特徴です。自社の成熟度を業界平均と比較し、ギャップ分析と改善計画立案に活用できます。OpenSAMMが規範的なのに対しBSIMMは実態ベースです。