通信世界网消息(CWW)软件安全检测在IT软件的生命周期中,特别是在产品开发完成到发布阶段,一方面可以帮助软件企业在发布之前找到安全问题予以修补,从而降低软件企业的运营成本。另一方面可以有效的验证安装在系统的保护机制能否在实际应用中对系统进行保护,不被非法入侵及不受各种因素干扰。软件安全检测对于软件企业来讲,可以说是构建软件大厦的基本安全基石。
但是面对软件安全检测,许多企业只是闭门造车,形成一座座孤岛,软件企业想要在软件安全检测中形成自己成熟的模式,这一过程会受各种因素的干扰,很难独立的构建起软件安全检测体系。
新思科技软件质量与安全部门提供一个测量和评估软件安全计划(SSI)的工具 —— BSIMM。BSIMM构建了一种合作的生态体系,可以帮助想要开展安全活动的厂商彼此间进行交流、学习、共生,为这些企业的软件安全构建提供指导,从而让这些企业不断完善自己,从而获得更多的价值。
据悉,著名科技企业华为,就是新思科技的用户。经过五年BSIMM评估,华为整个软件开发生命周期(SDLC)的安全成熟得到提高。根据最新的BSIMM评估,在BSIMM框架实践中,华为超过了全球行业平均标准。例如,华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。
那么,BSIMM到底能给中国企业带来什么价值?具备怎么样的优势?就此,通信世界全媒体记者采访了新思科技软件质量与安全部门高级安全架构师杨国梁、新思科技软件质量与安全部门管理顾问Olli Jarva以及华为网络安全与用户隐私业务管理部安全设计主管杨光磊。
新思科技为软件安全检测带来机遇
正如新思科技软件质量与安全部门高级安全架构师杨国梁介绍的那样,新思科技从2014年开始进入软件安全领域,成立了新思科技软件质量与安全部门,先后收购了Coverity、Codenomicon、Cigital和Black Duck等一些业界领先的公司,这一部门在世界许多地方都有研发分部,包括美国、以色列、澳大利亚、加拿大、芬兰等,在中国有武汉研发中心,负责支撑不同的产品及咨询业务的开展。
新思科技软件质量与安全部门高级安全架构师杨国梁
在软件安全检测行业中比较成熟的OpenSAMM、微软SDL,他们提供的是指导性的模型,其中最大的特点是它已经约定好了模型的架构,作为软件企业只需要按照这个模型去做,保证开发的软件符合这一模块要求。
但是新思科技软件质量与安全部门管理顾问Olli Jarva提到,BSIMM与之前的软件安全检测有很大的区别,BSIMM不会告诉你如何往下做,而是描述了你正在做哪些事情,或者已经做了哪些事情。从一个现实的角度来说,软件企业在做SDLC开发生命周期的时候,会遵循比如微软的SDL或者OpenSAMM,在之后,这些软件企业会用BSIMM评估开展的怎么样,做的好不好,哪点还缺失,或者哪点做的比较好。BSIMM可以用来评估各种各样不同的指导性的模型。
新思科技软件质量与安全部门管理顾问Olli Jarva
BSIMM与软件企业的单打独斗不同,它成立了一个类似社区生态,把大家都聚在一起,大家互相学习,在做完评估之后,企业可以看到友商或者说竞争对手,他们在安全实践上面做了些什么,也可以让企业看到一些与自身不太相关的行业是如何在安全实践上进行业务开展,可以让这些企业相关交流、相互学习。Olli Jarva还介绍到,新思科技构建了交流环境之后,BSIMM本身对于一些新的趋势或者是技术的获取非常敏锐,
华为网络安全与用户隐私业务管理部安全设计主管杨光磊也表示,华为在ICT领域是一个领导厂商,华为致力于把数字世界带给每个人,每个家庭以及每个组织。在这个连接的基础上,更希望能够给大家带来的是安全的连接。
华为与新思科技的合作是从2013年开始,在此之前,华为已经在研发过程中引入了很多安全的活动,但是安全活动执行的效果怎么样,和同行业相比做到什么样的程度,其实华为并不是很清楚,但是与新思科技合作后,对华为的产品进行了评估,让华为发现其中很多当时相比业界来说还有一些差距的地方,针对这些差距,华为制定了具体的改进措施,让华为的产品持续不断的得到改进,现在每年华为都会邀请新思科技给华为做评估,帮助自己不断进行改进。
新思科技软件安全检测优势何在?
首先在技术方面,BSIMM模型的框架主要有四个领域组成,Governance指的是治理的部分;Intelligence指的是一些情报;SSDL Touchpoints指在这个SDL开展的过程中,那些触点有没有做好,那些该做的事情的位置、时间点这些设计是否足够好,比如架构、分析、代码或者各种各样的安全测试,包括渗透测试等等之类的;Deployment就是在部署阶段。
这四个领域下分别对应了12个不同的practice。12个practice下面还有113个具体的安全事件。通过这113个具体的安全事件,新思科技也可以向企业揭示如何在开发软件的过程中,把各个方面都权衡、考虑到之后,才能比较好确保软件安全方面的成熟度。
其次在信息分享方面,BSIMM的优势不仅体现在技术方面,软件企业既想与行业其他厂商进行对比,又不希望自己的得分暴露给其他人。新思科技从两个方面保证了用户的隐私安全,一方面新思科技内部能够做BSIMM评估的人是通过非常严格的遴选,分别负责不同的企业,最后再由不同的负责人汇总、脱敏、分析。另一方面一些领先企业愿意分享自己是怎么开展应用安全的管控,包括整套安全机制。
再次在成本控制方面,从开展一个安全事件的落地之类来说,成本或者开销是一个很大的考虑,BSIMM在帮企业做完评估之后,它能告诉企业这方面的资源投入了多少,那方面的资源投入了多少。它会结合企业业务形态,能够帮企业分析出哪方面成本花得比较多,开销比较多,哪方面是不是可以稍微节制一点,哪方面做得不太好的是不是可能再多花一点等。
最后,BSIMM是一种帮企业缓解顾虑的工具。因为它做完评估之后,就会给企业的高层或者管理层一个计划时间,显示出哪几方面做得不好,做得不好的方面应该多投入一些预算、资源。所以基于BSIMM,还有一个安全成熟度提升计划的东西,帮企业做一个比如两年的规划,企业对于做的不好的那几个方面,这两年之内要怎么样投入你的资源,怎样把它的能力做上来。
新思科技软件安全检测成果颇丰
正如Olli Jarva在采访中讲到的那样,到现在为止,BSIMM评估了146家不同的公司,在最新的版本BSIMM8中,新思科技评估了109个安全的开展计划。其中从头开始到现在,总共做了321次独立的评估,其中就有36家公司超过一次做过BSIMM评估,其中最多的一家做过5次以上。
新思科技希望鼓励客户通过设立一个社区,大家参加过BSIMM评估的或者想要有意把安全在企业内做好的企业,大家一起互相讨论,互相交流,怎么样把信息安全这件事情做的更好。
谈及与客户的合作,Olli Jarva以华为举例表示:“企业ICT解决方案进入市场时,确保其安全性并保护客户的数据和隐私至关重要。与新思科技合作进行BSIMM评估,彰显了华为致力于为客户提供世界级安全水准的ICT产品的决心。”
写在最后
正如采访中杨光磊讲到的那样,BSIMM评估的价值可能体现的不是那么直接,但是用户在使用安全产品的安全性上可以体现。因为这个过程,BSIMM评估最终价值是会延伸到产品,让用户所使用的产品漏洞更少。另外,它可能确实能给企业带来相应的安全保护。从这个角度来说,在云基础设施整个产品开发过程中,企业不断的进行相应的设计安全措施,可以保证企业的云基础设施尽量少造成因为漏洞而引起的服务中断或者服务中止,给客户带来损失。
