凭借BSIMM，新思科技如何为中兴通讯研发助力?

摘要：大家知道，安全对于任何构建和使用软件的企业和个人来说都至关重要，比如中兴通讯采取积极主动的安全举措，包括采用新思科技的Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析以及软件安全构建成熟度模型(BSIMM)评估等。

中兴通讯无线经营部产品安全总监杨铁建指出，中兴通讯将产品安全视为产品研发和交付第一优先级。为满足日新月异的市场需求，产品开发人员需快速进行产品开发，但是中兴通讯不会牺牲安全来换取交付速度。我们引入业界安全治理框架、最佳实践，融入公司HPPD流程中，并进行持续改进，提升整体软件开发安全成熟度，从流程、制度上保障交付的产品和服务的安全性。

同时，杨铁建也表示：“我们采用了大量先进的安全产品、技术和方法，同时我们也以更开放的心态，希望与业界加强沟通，了解自己在行业中所处的位置，并不断识别差距和改进点。中兴通讯无线经营部希望寻求一种系统的安全评估方案，以判断我们的5G产品安全研发和交付能力是否已经进入业界第一梯队，力证公司有实力帮助客户应对网络安全挑战。”

什么是BSIMM?

首先它是一个观察、评估和描述企业的SSI真实状态的一个工具。什么是SSI，就是Software Security Initiative，软件安全方案的一个真实状态。而所谓这个软件安全方案，大家可以看一下蛛网图，上面有12项practice(实践)，而这12项实践又对应到了4个domains(领域)。

可以看到右上角针对的是比较高high level的一些战略和指标，合规政策、培训、流程等等;右下角会涉及到一些具体的情报的收集，功能的设计，标准的制定;左下角会有一些安全类的测试、渗透测试或者对于代码的审查;左上角是你在运维部署的过程中，对于你的环境、漏洞的管理等等，有没有一些很好的考量。

自2008年起，新思科技每年都会分析不同企业的实际软件安全实践的定量数据，并汇总成为年度BSIMM报告，帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM是企业衡量软件安全的标尺，中兴通讯可以参考对比业界优秀的实践活动，以便更加有针对性地改善自身软件安全成熟度。

为什么需要进行BSIMM评估?

自2008年以来，新思科技共对200多家企业开展了约500次测评，对此BSIMM优势可以说明几点：1、掌握SSI的现状，提供可视性;2、衡量新的软件安全方法;3、评估企业自身的软件安全方案策略;4、建立一个衡量软件安全方案进展方法;5、展示软件安全状态;6、收集具体细节，以向公司高层或董事会说明安全方案如何发挥作用。

2017年，中兴通讯开始借鉴BSIMM模型逐步完善软件安全计划，将BSIMM定义的软件安全活动嵌入到HPPD研发流程中。无线经营部又进一步采用BSIMM，在南京、上海、西安、深圳和海外局点开展安全性评估，覆盖无线主要网络产品。目前为止，新思科技对中兴通讯B8200和8120D两款5G平台设备进行了评估服务，主要有：

A 客观分析现有的SSI

B 剖析不同行业垂直领域出色的安全实践

C 基于公司目前的安全现状，分享其它有关公司成功和失败的案例，并介绍业界应对安全问题的新举措

另外，包括为期一个月的代码安全性评估、一周的安全设计文档评估及三天的BSIMM访谈。访谈期间对与软件安全相关的主要负责人进行三轮访谈和多轮沟通会议。评估报告中总结了中兴通讯产品安全状态、业界位置，并根据实际情况提供了实用的改进建议。

2021年，新思科技为中兴通讯无线经营部5G RAN(包括BBU、AAU/RRU和统一管理专家UME)和5GC(包括核心网、5G编排管理、5G云)等产品的研发过程进行为期三天的评估，之后详细解读评估报告，并和2019年两款产品的评估结果进行比较，更新改进建议。中兴通讯此次高分完成评估，在绝大多数领域远超平均分，总体上达到业界领先的水平。对比19年的评估结果，可以看出中兴通讯在软件安全管控上取得了长足的进步。

新思科技软件质量与安全部门高级安全架构师杨国梁介绍道：“这些采访中涉及的主题与BSIMM软件安全框架中的121项活动一致，如软件安全政策、供应商管理和风险评级等等。评估结果在报告中呈现。BSIMM记分卡提供了精准、简练的概况和详细的分数比较，概述了中兴通讯与同类公司执行的安全方案之间的对比。”

BSIMM成果：助力安全能力系统性地改进

经过三年多对标BSIMM框架以及BSIMM评估，中兴通讯无线经营部项目安全能力得到系统性的改进，在安全培训、需求、设计、编码、测试、交付领域都得到了提升。

杨铁建表示：“全面进入5G市场面临许多挑战，其中，安全性和数据保护尤为重要。新思科技评估团队专业、敬业，对我们的需求能够快速精准地响应。BSIMM评估模型的评估方式与评估条目紧贴行业和市场的新动向和新标准，不断迭代升级，这与中兴通讯加速推进全球5G商用规模部署的战略不谋而合。与新思科技的合作，是中兴通讯致力于为全球客户提供安全、可靠的5G全系列产品与解决方案的良好实践。”

杨国梁总结道：“发展5G为整个产业链带来巨大的机遇，同时，业界也特别强调5G网络建设的安全保障。5G 安全需要考虑多个层面，比如5G 网络本身的通信安全以及 5G 网络承载的上层应用安全。但总的来说，通信设备提供商应该在产品设计之初，就必须充分考虑可靠性和安全性。新思科技会继续为中兴通讯提供测试工具和评估服务等，为构建5G时代自主创新核心竞争力提供持续的安全支持。”

小结：中兴通讯在安全能力的系统性里面得到很好的改进。本次评估，他们也高分完成了评估，在绝大多数领域其实是高于平均水平，总体上已经进入了第一梯队。而这里所谓的第一梯队是根据BSIMM得分一个自然的划分，罗列出来的几档，不难发现中兴已经处于最高水位第一梯队的那一档。