新思科技为华为开展BSIMM软件安全评估 为构建全联接智能世界提供安全支持

从深圳走向世界

华为创立于深圳，多年来不断加大基础研究投入，为满足客户的需求持续创新。华为厚积薄发，现已成为全球的ICT（信息与通信）基础设施和智能终端提供商，致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界。目前，华为和运营商一起，在全球建设了1,500多张网络，帮助世界超过三分之一的人口实现联接。

网络安全，不能妥协

技术更新换代速度加快，用户需求日新月异，市场竞争和变化都给企业带来巨大压力。华为一直致力于寻求高效的解决方案应对市场挑战，为全球客户带来裨益。

华为研发网络安全与用户隐私保护业务管理部负责人萧永顺表示："ICT行业正面临着变化莫测的市场格局，产品开发专业人员被迫迅速地推出新的解决方案或产品。如果一款新产品无法赶上市场发展的浪潮，它就注定要失败。"

萧永顺指出，激烈的市场竞争给软件开发人员带来压力，他们需要在极短时间内完成产品开发。但是华为不会以牺牲安全性来换取交付速度。

他说："产品开发过程中任一环节--从设计、开发、测试，交付到维护，出现软件安全问题都可能导致多年来精心建立的声誉毁于一旦，并且会失去来之不易的客户信任。随着我们的产品系列增加和全球影响力扩大，我们对产品开发过程中的安全性和软件完整性愈发重视。"

自2010年起，华为开始参考OpenSAMM、Microsoft SDL等业界优秀实践，在软件开发流程中融入安全性。采取内置安全措施的软件开发方法提升软件的质量与安全，增强产品健壮性，加强隐私保护。并且，华为还在持续关注业界较新的威胁和应对方法，不断地优化软件开发流程。

萧永顺接着说："虽然参考多种软件安全标准是一个很好的起点，但很快我们就看到了不足；这些评估只是基于内部的流程，缺乏与业界标杆对比的标准，无法衡量华为软件安全能力在业界的水平情况。华为是一家全球性的ICT公司，我们希望在软件安全领域能达到甚至超越国际水准。"

新思科技为华为进行软件安全构建成熟度模型（BSIMM）评估

2013年，华为产品与解决方案部门的软件安全之旅又迈进了一步——采用新思科技BSIMM评估。

新思科技软件质量与安全部门提供一个测量和评估软件安全计划(SSI)的工具 -- BSIMM，帮助企业持续构建安全的、高质量的软件，在提升研发速度和生产力的同时降低风险。2008年，Cigital公司（软件安全管理和专业服务供应商，2016年被新思科技收购）开发了BSIMM。通过观察和分析全球杰出SSI的真实数据，帮助企业理解、衡量和规划SSI。凭借BSIMM评估，华为可以参考对比业界优秀的实践活动，以便更加有针对性地改善自身软件安全成熟度。BSIMM为华为提供：

●  公正分析华为现有的安全计划

●  剖析不同行业垂直领域出色的安全实践

●  基于公司目前的安全现状，分享其它有关公司成功和失败的案例，并介绍业界应对安全问题的新举措

华为在2013年首次进行了BSIMM评估。每轮评估过程大概2到3个月，包括了一系列访问和培训。

首先，新思科技对公司安全相关的主要负责人进行了采访，对华为内部执行的软件安全方案进行评估。这些采访中涉及的主题与BSIMM软件安全框架一致，如华为的软件安全政策、供应商管理和风险评级等等。

之后，新思科技软件质量与安全部门面向华为软件安全团队，开展了活动培训，探讨其它企业的较佳实践。另外，公司的决策层也会接受相关的培训，充分了解公司安全计划的状态。

评估结果在一份报告中呈现。BSIMM记分卡提供了精准、简练的概况和详细的分数比较，概述了华为与同类公司执行的安全方案之间的差异。

借助BSIMM，华为制定了增强现有SSI的方案。

从这几年BSIMM评估的结果来看，华为在很多领域得到了比较明显的提升：

●  培训领域：一开始评估，华为的安全培训只是零星的开展，没有形成课程和培训体系，相关活动基本没有得分。经过一两年建设，开展了绝大多数活动，培训获得3分

●  战略和指标：华为参考业界实践，建立了SDP Track平台（Security Development Platform），对产品安全开发流程中的各个安全活动进行管理，跟踪和了解各个安全活动的数据和状态。在2017年评估中得到了认可

●  代码检视：以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描，所有产品使用统一规则。通过改进，将不同类型产品安全编码检查规则嵌入到开发环境中，量身定制的规则和自动化工具做了结合，发现了一些过去没发现的问题

投资回报，硕果累累

新思科技软件质量与安全部门亚太区管理顾问Olli Jarva 表示："企业ICT解决方案进入市场时，确保其安全性并保护客户的数据和隐私至关重要。与新思科技合作进行BSIMM评估，彰显了华为致力于为客户提供世界级安全水准的ICT产品的决心。"

萧永顺介绍到，经过五年BSIMM评估，整个软件开发生命周期（SDLC）的安全成熟得到提高。根据较新的BSIMM评估，在BSIMM框架实践中，华为超过了全球行业平均标准。例如，华为云在2018年年初的安全评估中获得了高分。华为是在BSIMM评估中获得高分的中国云服务供应商。

萧永顺总结道："BSIMM的妙处在于它是一个'活的'工具，评估方式与时俱进，紧贴行业和市场的需求新标准。我们会继续与新思科技软件质量与安全部门紧密合作，开展BSIMM评估。我们也计划在其它领域与新思科技进一步合作，比如代码安全检测、协议安全测试等，以帮助提升产品安全能力。"