開展BSIMM軟件安全評估, 為軟件工程系統(tǒng)提供支持
現(xiàn)在智能手機(jī)廠商除了提供豐富的功能,同時在安全方面也在加大投資,以獲得更大的市場競爭力。
科技為人
自成立以來,OPPO廣東移動通信有限公司(以下簡稱OPPO)業(yè)務(wù)已遍布全球40多個國家和地區(qū),其產(chǎn)品在全球已有超過3億用戶。自2019年以來,OPPO的研發(fā)投入已達(dá)100億人民幣,通過技術(shù)進(jìn)一步推進(jìn)設(shè)計,F(xiàn)在,OPPO多款手機(jī)產(chǎn)品搭載了網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)攻擊識別算法等創(chuàng)新技術(shù),具備網(wǎng)站檢測、財產(chǎn)風(fēng)險提示等安全功能,并且也開發(fā)了權(quán)限記錄、隱私替身等保護(hù)隱私的功能。
OPPO對自身產(chǎn)品和業(yè)務(wù)的安全問題非常重視,采取多種舉措以加強(qiáng)與業(yè)界個人、組織及公司密切合作,來提升整體安全水平,包括采用新思科技(Synopsys)的軟件安全構(gòu)建成熟度模型(BSIMM)評估等。
目標(biāo):對標(biāo)行業(yè)優(yōu)秀安全活動,構(gòu)建整體可信工程
在數(shù)字時代,網(wǎng)絡(luò)安全和數(shù)據(jù)安全至關(guān)重要,如果出現(xiàn)漏洞,會危及財產(chǎn)安全及個人隱私。與普通消費(fèi)者最接近的無疑是智能手機(jī)中的一些應(yīng)用軟件隱患。
OPPO終端安全總監(jiān)王安宇表示:“一直以來,OPPO關(guān)注用戶的信息泄露焦慮和隱私保護(hù)訴求。在當(dāng)前形勢下, OPPO將持續(xù)加強(qiáng)安全隱私領(lǐng)域的技術(shù)積累,不斷更新和升級用戶的隱私安全體驗,結(jié)合智能和互聯(lián)場景,逐步構(gòu)建在安全隱私方面的品牌競爭力,在用戶心中建立可信賴的品牌形象,為企業(yè)健康長久發(fā)展提供堅實保障。為此,我們采用新思科技(Synopsys)的軟件安全構(gòu)建成熟度模型(BSIMM)評估測評軟件安全能力在業(yè)界的行業(yè)水平。”
OPPO公司軟件工程系統(tǒng)安全工程部自成立以來,就致力于安全工程能力建設(shè),提升企業(yè)軟件安全能力。業(yè)務(wù)部門為了確保交付安全的終端產(chǎn)品,在產(chǎn)品開發(fā)過程的每一個環(huán)節(jié)都需重視安全與隱私保護(hù),并且隨著OPPO產(chǎn)品系列增加和全球影響力擴(kuò)大,OPPO對軟件開發(fā)過程中的安全與隱私保護(hù)愈發(fā)重視。為此,安全部門引入Microsoft SDL、新思科技 BSIMM等業(yè)界優(yōu)秀實踐,對軟件開發(fā)全流程進(jìn)行安全合規(guī)管理,并不斷優(yōu)化,助力業(yè)務(wù)發(fā)展。
王安宇指出:“OPPO希望通過安全合規(guī)機(jī)制支撐公司業(yè)務(wù)發(fā)展主方向,保障業(yè)務(wù)合規(guī)交付,軟件安全開發(fā)流程IT化。在產(chǎn)品規(guī)劃和研發(fā)階段就開始保護(hù)客戶和產(chǎn)品的安全隱私,降低風(fēng)險和成本,最終構(gòu)建OPPO的整體可信工程。同時,我們需要一把標(biāo)尺,衡量我們安全計劃的進(jìn)度以及OPPO軟件安全能力在業(yè)界的水平,以有方向地提升安全。”
新思科技為OPPO進(jìn)行軟件安全構(gòu)建成熟度模型(BSIMM)評估
新思科技連續(xù)五年被評為Gartner應(yīng)用安全測試魔力象限領(lǐng)導(dǎo)者,有卓越的前瞻性和執(zhí)行力,可以幫助OPPO對標(biāo)行業(yè)優(yōu)秀實踐活動,以確定目前OPPO的成熟度水平及軟件安全計劃如何提升。2020年,OPPO開始采用BSIMM,在深圳、東莞、成都、上海、南京等城市面向軟件工程系統(tǒng)進(jìn)行整體評估,覆蓋軟件工程主要業(yè)務(wù)。
自2008年起,新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù),并匯總成為年度BSIMM報告,幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標(biāo)尺,OPPO可以參考并對比業(yè)界優(yōu)秀的實踐活動,以便更加有針對性地改善自身軟件安全成熟度。
聚焦OPPO軟件工程系統(tǒng)相關(guān)業(yè)務(wù)架構(gòu),新思科技前期準(zhǔn)備訪談大綱,并進(jìn)行了為期兩周的現(xiàn)場/遠(yuǎn)程專家訪談,在會后出具軟件安全成熟度評估報告,且提供有效的改進(jìn)及優(yōu)化建議。
客觀分析現(xiàn)有的SSI
剖析不同行業(yè)垂直領(lǐng)域出色的安全實踐
基于公司目前的安全現(xiàn)狀,分享其它相關(guān)類型公司成功和失敗的案例,并介紹業(yè)界應(yīng)對安全問題的新舉措
新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹道:“通過這些訪談,我們了解到OPPO對其SSI的當(dāng)前運(yùn)作方式及未來目標(biāo)運(yùn)作方式的想法。BSIMM主要是衡量軟件安全的標(biāo)尺,將OPPO的安全方案與其他公司正在開展的安全工作進(jìn)行比較。BSIMM也可用作SSI路線圖,OPPO可以確定自己的目標(biāo)和行為,然后參考BSIMM來確定哪些額外活動對公司有意義,從而有規(guī)劃地改善SSI!
借助BSIMM,OPPO制定了SSI增強(qiáng)方案,持續(xù)優(yōu)化軟件安全實踐。根據(jù)OPPO軟件工程系統(tǒng)安全研發(fā)現(xiàn)狀的調(diào)研,系統(tǒng)化的分析現(xiàn)狀,形成分析報告并制定安全能力提升路線和具體落地步驟,通過SDL流程完善現(xiàn)有軟件安全能力,建立安全可信的產(chǎn)品體系,最終構(gòu)建OPPO的整體可信工程。
成果:軟件開發(fā)安全體系得到明顯提升
新思科技對OPPO安全工程部以及軟件工程系統(tǒng)其它業(yè)務(wù)部門的軟件安全活動信息進(jìn)行了整體評估。對標(biāo)外部公司,新思科技公正客觀地分析軟件開發(fā)安全體系所處的行業(yè)水平。從近兩年BSIMM評估結(jié)果來看,OPPO軟件開發(fā)安全體系在很多領(lǐng)域得到了較明顯的提升。另外,基于OPPO目前的安全現(xiàn)狀,并借助BSIMM評估結(jié)果,幫助OPPO制定了有效的SSI提升方案。
王安宇稱贊道:“在兩年的評估過程中,新思科技團(tuán)隊專家和成員都展現(xiàn)了很強(qiáng)的專業(yè)能力,對OPPO軟工系統(tǒng)軟件安全現(xiàn)狀的評估很切合實際,并提出了提升OPPO安全能力有效的建議。OPPO也希望與新思科技有更進(jìn)一步的合作,來提升整個企業(yè)軟件安全開發(fā)生命周期的安全合規(guī)能力。”
新思科技資深安全專家王永雷總結(jié)道:“結(jié)合OPPO公司軟件工程系統(tǒng)安全工程部成立時間等綜合因素,OPPO的評估成果已經(jīng)是業(yè)界比較高的水平。面對數(shù)字化時代中的安全問題,手機(jī)廠商以及運(yùn)營商都需要加強(qiáng)可靠性和安全性,推動終端安全領(lǐng)域技術(shù)的創(chuàng)新。在產(chǎn)品設(shè)計之初就內(nèi)置安全是最具成本效益的一種方式。新思科技將繼續(xù)為軟件工程系統(tǒng)提供安全支持,助力OPPO構(gòu)建整體可信工程!