|
层出不穷的安全问题和软件漏洞,让企业对软件安全的重视度提升到了前所未有的高度。在整个软件生命周期中,无论是敏捷开发还是DevOps流程,安全性已经贯穿始终,成为至关重要的一环。那么,企业如何知道自家的软件安全到底是一个什么样的水准,和其他公司相比处于一个什么样的位置,还有哪些缺点和不足需要改进?
来自于新思科技的BSIMM(软件安全构建成熟度模型)也许是这个问题的绝佳注解。和微软的SDL规定性模型不同,BSIMM属于描述性模型,前者是强调怎么做,后者则是强调你做得怎么样,并以数据为支撑给出一个可以量化和可视化的参考标准。新思科技BSIMM现为11代,汇聚了诸多行业和领先公司的权威性数据,已经成为事实上的软件安全评估标准。
从左至右:新思科技软件质量与安全部门高级安全架构师杨国梁丨OPPO终端安全总监王安宇丨新思科技资深开源安全专家王永雷
藉由BSIMM 11的强大数据基础和衡量软件安全指标的12个实践领域,企业不仅可以了解在各个领域的实现程度,更可以找到自己在整个BSIMM社区中的坐标和准确位置,认清差距和不足,从而针对性的改善和补强。和OPPO的合作就凸显了这一点,2021年8月5日,新思科技携手OPPO,围绕着双方在软件安全评估方面的合作进行了阐述与解读。
以数据为支撑的安全标尺
作为一套实践模型评估工具,BSIMM
11汇总提炼了130家公司开展的安全实践活动。其共有治理、智能、SSDL触点、部署四大领域以及细分的共12个实践模块,覆盖了软件安全计划的方方面面,并以可量化的和有代表性的业界数据为基准,通过一系列的指标权重来评估软件安全计划成熟度。
从2008年开始,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度BSIMM报告,至今为止新思科技一共对211家企业开展了大约500次左右的BSIMM评估。NVIDIA、联想、华为、Adobe、思科等知名公司都参与到了实践中。
和这些公司一样,OPPO一直关注用户的信息泄露焦虑和隐私保护诉求。同时,在自身软件安全的建设中,也需要对标行业优秀实践活动,以确定成熟度水平。“我们需要一把标尺,衡量我们安全计划的进度以及OPPO软件安全能力在业界的水平,以有方向地提升安全。"王安宇表示。
OPPO的软件安全评估历程
目前,OPPO多款手机产品均搭载了网络安全态势感知、网络攻击识别算法等创新技术,具备网站检测、财产风险提示等安全功能,并且开发了权限记录、隐私替身等隐私保护功能。王安宇表示:“OPPO正持续加强安全隐私领域的技术积累,不断更新和升级用户的隐私安全体验,结合智能和互联场景,逐步构建在安全隐私方面的品牌竞争力。”
和新思科技的合作正是OPPO愈发重视软件安全的体现。因为OPPO在进行了大量的安全建设之后,需要更好更深入地检验和评估自己的工作成果,了解自己的软件安全究竟处于一个什么样的层次,横向对比其他代表性公司都有哪些优势和不足。而正是通过和新思科技两年的合作,使得OPPO的软件开发安全体系在很多领域都得到了较明显的提升。
双方的合作开始于2020年,新思科技前期进行专家访谈,然后出具软件安全成熟度评估报告,且提供有效的改进及优化建议。OPPO则在深圳、东莞、成都、上海、南京等城市面向软件工程系统进行整体评估。新思科技软件质量与安全部门高级安全架构师杨国梁介绍道:“BSIMM将OPPO的安全方案与其他公司正在开展的安全工作进行比较并给出合理化建议。BSIMM也可用作SSI路线图,指导OPPO有规划地改善SSI。”
评估结果表明,结合OPPO公司软件工程系统安全工程部成立时间等综合因素,OPPO已经是业界比较高的水平。王安宇评价道:“在两年的评估过程中,新思科技团队专家和成员都展现了很强的专业能力,评估很切合实际,并提出了提升OPPO安全能力有效的建议,从而帮助OPPO更好地构建整体可信工程。”
结语
作为智能手机的领先品牌,OPPO的业务现已遍布全球40多个国家和地区,在全球已有超过3亿用户,热度提升的同时,自然也时刻面临着各种各样的安全问题与网络威胁。OPPO对自身产品和业务的安全问题非常重视,在与用户和市场的交互中,对于智能与物联网设备的安全与防护也有了深刻理解。
而通过新思科技BSIMM的评估,OPPO在软件安全建设领域又走出了成熟而坚实的一步。未来,随着新技术的不断涌现,软件安全问题也呈现出新的变化,这就需要有一个相对完整的软件安全方案,指导企业更好地做好软件安全开发,而这也正是新思科技BSIMM的优势所在。 | 