提升軟體安全成熟度 新思科技為華為開展BSIMM模型評估

至頂網伺服器頻道 07月26日 新聞消息（文/李祥敬）： 針對易受攻擊軟體的破壞性攻擊分布廣並且數量日益增長，企業正在從被動的『滲透和補丁』方式轉向更多的主動戰略，從一開始就可以系統地構建安全軟體。企業可以通過構建測量和評估軟體安全計劃（SSI）來有效地降低風險，並通過諸如BSIMM等工具來評估其優勢和不足，將精力放在最恰當的實踐模塊和活動上。

新思科技軟體安全構建成熟度模型（BSIMM）基於真實數據，旨在幫助企業規劃、執行並評估其SSIs。BSIMM將軟體安全劃分為4個領域、12個實踐、113個活動，以衡量軟體的安全性。不同公司可根據自身情況，選擇相應的實踐活動，以持續提升軟體安全水平。到目前為止， BSIMM評估了146家公司。

BSIMM對於企業軟體安全的意義

新思科技軟體質量與安全部門管理顧問Olli Jarva

新思科技軟體質量與安全部門管理顧問Olli Jarva告訴記者，BSIMM對已經建立真正SSI的企業進行觀察，描述了113項可付諸實踐的活動，通過量化多家不同企業的做法，能同時發現許多企業的共同點以及彰顯個性的不同之處。BSIMM數據顯示成熟度高的安全計劃很全面，開展了所有12個實踐模塊中的多項活動。企業可以憑藉BSIMM對軟體安全計划進行比較，由此決定哪些活動是可能有用的。

現在市面上有很多評估工具，那麼BSIMM有什麼不同呢？Olli說，現在的安全開發評估模型從大類上分兩類，一類是指導性模型，還有一類叫做描述性模型。指導性模型以OpenSAMM、微軟SDL為代表，它們都是指導性模型。這類模型的最大特點就是它已經規定好事項，你需要怎麼做下去才是符合這個模型的一個事件。「BSIMM是描述性模型，與OpenSAMM、微軟SDL的區別是BSIMM不是告訴你如何往下做，而是描述了你正在做哪些事情，或者已經做了哪些事情。」

從現實的角度來說，一家公司開展業務的時候，在SDLC（軟體開發生命周期）的時候，他會遵循比如微軟的SDL或者OpenSAMM，之後再用BSIMM評估開展地怎麼樣，做地好不好，哪裡還有缺失，或者哪點做地比較好。「BSIMM相對比較獨特的一點，就是它可以用來評估各種各樣不同的指導性模型。此外，為了保持數據新鮮度，BSIMM會更加頻繁地更新自己的模型，保持與時俱進的狀態。BSIMM本身對於一些新趨勢或者新技術的獲取非常敏銳，包括像大家現在看到的敏捷趨勢或者容器技術的應用很明顯，BSIMM可以很好地適配敏捷的趨勢。」Olli說。

第一版BSIMM於2008年構建，現在已經更新到第八個版本。BSIMM8首次於亞太區發布，是迄今為止發布最詳細的BSIMM數據。BSIMM8收集了來自109家公司的數據，並且描述了4769名軟體安全專家的工作成果，展現了軟體安全最佳實踐模塊背後的科學性。這些成果對近30萬名開發人員有指導作用，幫助他們最大化地保障產品的安全性。這些開發人員參與約9.5萬應用程序的開發工作。參與BSIMM8調研的公司來自有代表性的垂直行業，包括金融服務、獨立軟體供應商（ISVs），雲、醫療衛生、物聯網和保險。

Olli表示，企業採用BSIMM模型開展安全評估的時候，會覆蓋到整個軟體研發過程的方方面面，比如代碼安全、策略制定怎麼樣，上線之後環境的保護等等。BSIMM不是一套方法論，而是一個評估的工具，會給企業呈現一個軟體安全的可視化的評估結果。「BSIMM是一個開放的標準，包括一個基於軟體安全實踐模塊的框架。通過建立社區，BSIMM每年有兩次線下的社區聚會、交流。對於開展安全實踐或者安全活動的公司來說，他們可以在社區或者活動中相互學習，分享各自的實踐經驗。通過交流、共生，不斷完善自己這樣一個過程，企業可以從中獲取很多的價值。」

全球領先的ICT（信息與通信）基礎設施和智能終端提供商，華為致力於把數字世界帶入每個人、每個家庭、每個組織，構建萬物互聯的智能世界。目前，華為和運營商一起，在全球建設了1500多張網路，幫助世界超過三分之一的人口實現聯接。

華為網路安全與用戶隱私業務管理部安全設計主管楊光磊表示，ICT行業正面臨著變化莫測的市場格局，產品開發專業人員被迫迅速地推出新的解決方案或產品。激烈的市場競爭給軟體開發人員帶來壓力，他們需要在極短時間內完成產品開發。但是華為不會以犧牲安全性來換取交付速度。

楊光磊介紹說，產品開發過程中任一環節——從設計、開發、測試，交付到維護，出現軟體安全問題都可能導致多年來精心建立的聲譽毀於一旦，並且會失去來之不易的客戶信任。隨著華為的產品系列增加和全球影響力擴大，其對產品開發過程中的安全性和軟體完整性愈發重視。「我們建立了由華為公司董事會成員牽頭的網路安全組織，從上到下，在每個層級都建立了相應的管理體系技術支撐安全。」

華為一方面把安全活動嵌入到整個產品的開發過程中，並設立檢查點，確保這些安全活動在產品開發過程中能夠有效地得到執行。另一方面，在整個的研發流程中不斷引入安全實踐。自2010年起，華為開始參考OpenSAMM、Microsoft SDL等業界優秀實踐，在軟體開發流程中融入安全性。採取內置安全措施的軟體開發方法提升軟體的質量與安全，增強產品健壯性，加強隱私保護。並且，華為還在持續關注業界最新的威脅和應對方法，不斷地優化軟體開發流程。

楊光磊說，雖然參考多種軟體安全標準是一個很好的起點，但很快我們就看到了不足；這些評估只是基於內部的流程，缺乏與業界標杆對比的標準，無法衡量華為軟體安全能力在業界的水平情況。「通過觀察和分析全球傑出SSI的真實數據，幫助企業理解、衡量和規劃SSI。憑藉BSIMM評估，華為可以參考對比業界優秀的實踐活動，以便更加有針對性地改善自身軟體安全成熟度。」

2013年，華為產品與解決方案部門的軟體安全之旅又邁進了一步 —— 採用新思科技BSIMM評估，每輪評估過程大概2到3個月，對產品的整體安全能力進行評估，包括安全標準策略、安全培訓、安全架構、安全測試等，制定有針對性的安全計劃，持續提升安全成熟度。

藉助BSIMM，新思科技對華為內部執行的軟體安全方案進行評估，涉及的主題與BSIMM軟體安全框架一致，如華為的軟體安全政策、供應商管理和風險評級等等。之後，新思科技軟體質量與安全部門面向華為軟體安全團隊，開展了活動培訓，探討和剖析不同行業垂直領域出色的安全實踐，並介紹業界應對安全問題的新舉措。另外，公司的決策層也會接受相關的培訓，充分了解公司安全計劃的狀態。

最終，BSIMM評估結果記分卡提供了精準、簡練的概況和詳細的分數比較，概述了華為與同類公司執行的安全方案之間的差異。藉助BSIMM，華為制定了增強現有SSI的方案。比如經過BSIMM的評估，華為已經在全球的12個實踐中，有9個實踐達到了最高的第三級評估標準，在整個ICT的行業中是領先的。

楊光磊表示，從這幾年BSIMM評估的結果來看，華為在很多領域得到了比較明顯的提升：

培訓領域：一開始評估，華為的安全培訓只是零星的開展，沒有形成課程和培訓體系，相關活動基本沒有得分。經過一兩年建設，開展了絕大多數活動，培訓獲得3分；

戰略和指標：華為參考業界實踐，建立了SDP Track平台（Security Development Platform），對產品安全開發流程中的各個安全活動進行管理，跟蹤和了解各個安全活動的數據和狀態。在2017年評估中得到了認可；

代碼檢視：以前在產品代碼靜態掃描中主要使用商業和華為自研的工具進行掃描，所有產品使用統一規則。通過改進，將不同類型產品安全編碼檢查規則嵌入到開發環境中，量身定製的規則和自動化工具做了結合，發現了一些過去沒發現的問題。

經過五年BSIMM評估，華為整個軟體開發生命周期（SDLC）的安全成熟得到提高。根據最新的BSIMM評估，在BSIMM框架實踐中，華為超過了全球行業平均標準。例如，華為雲在2018年年初的安全評估中獲得了高分。華為是首家在BSIMM評估中獲得高分的中國雲服務供應商。在整個雲產品開發過程中，華為不斷進行相應的設計安全措施，保證雲基礎設施盡量少造成因為漏洞而引起的服務中斷，或者服務中止，而給客戶帶來損失。

「BSIMM的妙處在於它是一個『活的『工具，評估方式與時俱進，緊貼行業和市場的需求新標準。我們會繼續與新思科技軟體質量與安全部門緊密合作，開展BSIMM評估。我們也計劃在其它領域與新思科技進一步合作，比如代碼安全檢測、協議安全測試等，以幫助提升產品安全能力。」楊光磊最後說。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！