提升软件安全成熟度 新思科技为华为开展BSIMM模型评估 原创

至顶网服务器频道 07月26日 新闻消息（文/李祥敬）： 针对易受攻击软件的破坏性攻击分布广并且数量日益增长，企业正在从被动的‘渗透和补丁’方式转向更多的主动战略，从一开始就可以系统地构建安全软件。企业可以通过构建测量和评估软件安全计划（SSI）来有效地降低风险，并通过诸如BSIMM等工具来评估其优势和不足，将精力放在最恰当的实践模块和活动上。

新思科技软件安全构建成熟度模型（BSIMM）基于真实数据，旨在帮助企业规划、执行并评估其SSIs。BSIMM将软件安全划分为4个领域、12个实践、113个活动，以衡量软件的安全性。不同公司可根据自身情况，选择相应的实践活动，以持续提升软件安全水平。到目前为止， BSIMM评估了146家公司。

BSIMM对于企业软件安全的意义

新思科技软件质量与安全部门管理顾问Olli Jarva

新思科技软件质量与安全部门管理顾问Olli Jarva告诉记者，BSIMM对已经建立真正SSI的企业进行观察，描述了113项可付诸实践的活动，通过量化多家不同企业的做法，能同时发现许多企业的共同点以及彰显个性的不同之处。BSIMM数据显示成熟度高的安全计划很全面，开展了所有12个实践模块中的多项活动。企业可以凭借BSIMM对软件安全计划进行比较，由此决定哪些活动是可能有用的。

现在市面上有很多评估工具，那么BSIMM有什么不同呢？Olli说，现在的安全开发评估模型从大类上分两类，一类是指导性模型，还有一类叫做描述性模型。指导性模型以OpenSAMM、微软SDL为代表，它们都是指导性模型。这类模型的最大特点就是它已经规定好事项，你需要怎么做下去才是符合这个模型的一个事件。“BSIMM是描述性模型，与OpenSAMM、微软SDL的区别是BSIMM不是告诉你如何往下做，而是描述了你正在做哪些事情，或者已经做了哪些事情。”

从现实的角度来说，一家公司开展业务的时候，在SDLC（软件开发生命周期）的时候，他会遵循比如微软的SDL或者OpenSAMM，之后再用BSIMM评估开展地怎么样，做地好不好，哪里还有缺失，或者哪点做地比较好。“BSIMM相对比较独特的一点，就是它可以用来评估各种各样不同的指导性模型。此外，为了保持数据新鲜度，BSIMM会更加频繁地更新自己的模型，保持与时俱进的状态。BSIMM本身对于一些新趋势或者新技术的获取非常敏锐，包括像大家现在看到的敏捷趋势或者容器技术的应用很明显，BSIMM可以很好地适配敏捷的趋势。”Olli说。

第一版BSIMM于2008年构建，现在已经更新到第八个版本。BSIMM8首次于亚太区发布，是迄今为止发布最详细的BSIMM数据。BSIMM8收集了来自109家公司的数据，并且描述了4769名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对近30万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。这些开发人员参与约9.5万应用程序的开发工作。参与BSIMM8调研的公司来自有代表性的垂直行业，包括金融服务、独立软件供应商（ISVs），云、医疗卫生、物联网和保险。

Olli表示，企业采用BSIMM模型开展安全评估的时候，会覆盖到整个软件研发过程的方方面面，比如代码安全、策略制定怎么样，上线之后环境的保护等等。BSIMM不是一套方法论，而是一个评估的工具，会给企业呈现一个软件安全的可视化的评估结果。“BSIMM是一个开放的标准，包括一个基于软件安全实践模块的框架。通过建立社区，BSIMM每年有两次线下的社区聚会、交流。对于开展安全实践或者安全活动的公司来说，他们可以在社区或者活动中相互学习，分享各自的实践经验。通过交流、共生，不断完善自己这样一个过程，企业可以从中获取很多的价值。”

华为采用BSIMM提升安全水平

全球领先的ICT（信息与通信）基础设施和智能终端提供商，华为致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界。目前，华为和运营商一起，在全球建设了1500多张网络，帮助世界超过三分之一的人口实现联接。

华为网络安全与用户隐私业务管理部安全设计主管杨光磊表示，ICT行业正面临着变化莫测的市场格局，产品开发专业人员被迫迅速地推出新的解决方案或产品。激烈的市场竞争给软件开发人员带来压力，他们需要在极短时间内完成产品开发。但是华为不会以牺牲安全性来换取交付速度。

杨光磊介绍说，产品开发过程中任一环节——从设计、开发、测试，交付到维护，出现软件安全问题都可能导致多年来精心建立的声誉毁于一旦，并且会失去来之不易的客户信任。随着华为的产品系列增加和全球影响力扩大，其对产品开发过程中的安全性和软件完整性愈发重视。“我们建立了由华为公司董事会成员牵头的网络安全组织，从上到下，在每个层级都建立了相应的管理体系技术支撑安全。”

华为一方面把安全活动嵌入到整个产品的开发过程中，并设立检查点，确保这些安全活动在产品开发过程中能够有效地得到执行。另一方面，在整个的研发流程中不断引入安全实践。自2010年起，华为开始参考OpenSAMM、Microsoft SDL等业界优秀实践，在软件开发流程中融入安全性。采取内置安全措施的软件开发方法提升软件的质量与安全，增强产品健壮性，加强隐私保护。并且，华为还在持续关注业界最新的威胁和应对方法，不断地优化软件开发流程。

杨光磊说，虽然参考多种软件安全标准是一个很好的起点，但很快我们就看到了不足；这些评估只是基于内部的流程，缺乏与业界标杆对比的标准，无法衡量华为软件安全能力在业界的水平情况。“通过观察和分析全球杰出SSI的真实数据，帮助企业理解、衡量和规划SSI。凭借BSIMM评估，华为可以参考对比业界优秀的实践活动，以便更加有针对性地改善自身软件安全成熟度。”

2013年，华为产品与解决方案部门的软件安全之旅又迈进了一步 —— 采用新思科技BSIMM评估，每轮评估过程大概2到3个月，对产品的整体安全能力进行评估，包括安全标准策略、安全培训、安全架构、安全测试等，制定有针对性的安全计划，持续提升安全成熟度。

借助BSIMM，新思科技对华为内部执行的软件安全方案进行评估，涉及的主题与BSIMM软件安全框架一致，如华为的软件安全政策、供应商管理和风险评级等等。之后，新思科技软件质量与安全部门面向华为软件安全团队，开展了活动培训，探讨和剖析不同行业垂直领域出色的安全实践，并介绍业界应对安全问题的新举措。另外，公司的决策层也会接受相关的培训，充分了解公司安全计划的状态。

最终，BSIMM评估结果记分卡提供了精准、简练的概况和详细的分数比较，概述了华为与同类公司执行的安全方案之间的差异。借助BSIMM，华为制定了增强现有SSI的方案。比如经过BSIMM的评估，华为已经在全球的12个实践中，有9个实践达到了最高的第三级评估标准，在整个ICT的行业中是领先的。

杨光磊表示，从这几年BSIMM评估的结果来看，华为在很多领域得到了比较明显的提升：

培训领域：一开始评估，华为的安全培训只是零星的开展，没有形成课程和培训体系，相关活动基本没有得分。经过一两年建设，开展了绝大多数活动，培训获得3分；

战略和指标：华为参考业界实践，建立了SDP Track平台（Security Development Platform），对产品安全开发流程中的各个安全活动进行管理，跟踪和了解各个安全活动的数据和状态。在2017年评估中得到了认可；

代码检视：以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描，所有产品使用统一规则。通过改进，将不同类型产品安全编码检查规则嵌入到开发环境中，量身定制的规则和自动化工具做了结合，发现了一些过去没发现的问题。

经过五年BSIMM评估，华为整个软件开发生命周期（SDLC）的安全成熟得到提高。根据最新的BSIMM评估，在BSIMM框架实践中，华为超过了全球行业平均标准。例如，华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。在整个云产品开发过程中，华为不断进行相应的设计安全措施，保证云基础设施尽量少造成因为漏洞而引起的服务中断，或者服务中止，而给客户带来损失。

“BSIMM的妙处在于它是一个‘活的‘工具，评估方式与时俱进，紧贴行业和市场的需求新标准。我们会继续与新思科技软件质量与安全部门紧密合作，开展BSIMM评估。我们也计划在其它领域与新思科技进一步合作，比如代码安全检测、协议安全测试等，以帮助提升产品安全能力。”杨光磊最后说。