Building Security In Maturity Model（BSIMM:セキュア開発成熟度モデル）は、Aetna、HSBC、Ciscoをはじめとするさまざまな企業との共同研究に基づいて、ソフトウェア・セキュリティの測定を行います。BSIMM（読みは「ビーシム」）は、既存のソフトウェア・セキュリティ対策の調査を行います。BSIMMでは、さまざまな組織のプラクティスを定量化することによって、一般的なソフトウェア・セキュリティ対策やユニークなバリエーションについて説明することができます。
BSIMMの最新版モデルのデータを提供してくれたのは、金融サービス、独立系ソフトウェアベンダー、テクノロジー、ヘルスケア、クラウド、モノのインターネット、保険、小売、電気通信、セキュリティ、エネルギーなどの業種の組織です。一部の組織は匿名でBSIMMの調査に参加することを希望していますが、社名の公表に同意した企業はBSIMM会員ページで確認できます。
BSIMMの最新版は、40万人の開発者が開発したソフトウェアを保護するために、約3,000人のソフトウェア・セキュリティ・グループ(SSG)メンバーの作業を記述しています。
BSIMMイニシアティブは、Cigital（現在はBlack Duckソフトウェア・インテグリティ・グループの一部）のメンバーがソフトウェア・セキュリティ対策を説明するためにモデルの開発を開始した2006年に始まりました。最初の調査の一環として、9つの企業が選択されました。最初のBSIMMは2009年に発表されました。BSIMMモデルの目的は、ソフトウェア・セキュリティ対策において、主観だけを頼りに何が「起こるべきか」を指図するのではなく、何が実際に起こっているのかを説明することです。
BSIMMは、セキュリティ対策を評価するための116のアクティビティを分類するために使用されるソフトウェア・セキュリティ・フレームワークです。フレームワークは、4つの分野に分類された12のプラクティスで構成されます。
BSIMMは、規範的なものではなく説明的なものです。BSIMMは、セキュリティに関する手引き書でも、万能の指図でもありません。ただ、ソフトウェア・セキュリティで以下のことが可能であることを反映したものです。
Black Duckマチュリティ・アクション・プラン（MAP）は、BSIMMから得た情報を規範的な計画に変えたいと考える組織が利用できます。ソフトウェア・セキュリティ対策を実施していない場合、BSIMMは組織がSSIを開発するうえで役立ち、特に次のような疑問を解決することができます。
既にソフトウェア・セキュリティ対策を実行している場合は、BSIMMを使用して、同僚に対する自分の位置付けを把握し、ソフトウェア・セキュリティ・プログラムを強化することができます。
