Berg：我喜歡BSIMM的唯一原因是其實(shí)它并不是一個(gè)模式。BSIMM概述了一些公司正在做的事情。我們可以從中得到頂尖公司共同在做事情的相關(guān)數(shù)據(jù)統(tǒng)計(jì)。BSIMM不會(huì)告訴你該做什么或不應(yīng)該做什么，它只是告訴你這些頂尖的軟件公司在做什么。微軟的SDL就是圍繞微軟做的工作而設(shè)計(jì)的。微軟有自己開發(fā)的一些應(yīng)用程序。最初的SDL主要集中在他們的操作系統(tǒng)中：如封裝和套裝軟件。如果你不打算開發(fā)這種軟件，也許這種模式并不一定合適。但是，這并不意味著你不能使用這種模式或者這種模式中的一些模塊。要完成一個(gè)大項(xiàng)目，你就應(yīng)該要有一個(gè)模式。如果沒有，你就是做無用功。

根據(jù)目前您了解到的信息，大部分公司的大體模式是正確的嗎？這些公司有沒有意識(shí)到這個(gè)問題，并著手建立更好的軟件開發(fā)流程呢？

Berg：這取決于市場的需求。有些縱向市場，像金融市場，處處充滿風(fēng)險(xiǎn)。在安全應(yīng)用開發(fā)問題上，他們始終走在前列。他們有風(fēng)險(xiǎn)管理人、安全工程師，還有一個(gè)安全項(xiàng)目。大多數(shù)金融組織都設(shè)有這些職位。但在美國之外的其他國家就不同了。美國的金融公司走在其他國家的金融組織之前。有一部分原因就在于美國的規(guī)章制度。毋庸置疑，PCI對(duì)金融市場起到?jīng)Q定性和強(qiáng)制性的作用。金融服務(wù)業(yè)之后就是零售業(yè)。PCI和金融服務(wù)業(yè)一同向零售業(yè)施壓。如果你接觸獨(dú)立軟件制造商，他們只會(huì)敷衍了事。大規(guī)模的獨(dú)立軟件制造商很有優(yōu)勢(shì)，一旦你躋身財(cái)富1000強(qiáng)，利益就多了。除非有重大事情發(fā)生，大多數(shù)的時(shí)候他們并沒有真正在做什么。

其中一些改變是根據(jù)用戶的要求進(jìn)行的嗎？是否需要監(jiān)管來改善小規(guī)模的獨(dú)立軟件制造商的軟件安全性？

Berg：我不希望看到有更多的規(guī)則條例出現(xiàn)。大家都知道條規(guī)并不總能保證事情朝正確的方向發(fā)展，人們只會(huì)循規(guī)蹈矩，用最少的工作來達(dá)到其中的要求。我更希望看到的是，有更多的軟件用戶與軟件制造商互動(dòng)起來�，F(xiàn)在這種情況越來越多了。具有購買能力的大客戶在他們定購的軟件的安全問題上有更多的發(fā)言權(quán)。如果你擁有財(cái)富500強(qiáng)或者財(cái)富1000強(qiáng)那樣的購買力，那么你就可以提出具體的要求，對(duì)軟件的開發(fā)方式也有一定的決定權(quán)。