新思科技為中興通訊進(jìn)行軟件安全構(gòu)建成熟度模型（BSIMM）評估

時間：2022-04-18 00:45:01 | 來源：行業(yè)動態(tài)

時間：2022-04-18 00:45:01 來源：行業(yè)動態(tài)

新思科技已經(jīng)連續(xù)多年在Gartner魔力象限應(yīng)用安全測試中被評為領(lǐng)導(dǎo)者，中興通訊對新思科技的能力和專業(yè)十分認(rèn)可，并部署過Coverity靜態(tài)應(yīng)用安全測試、Defensics模糊測試、Black Duck軟件組成分析等安全工具。2017年，中興通訊開始借鑒BSIMM模型逐步完善軟件安全計劃，將BSIMM定義的軟件安全活動嵌入到HPPD研發(fā)流程中。無線經(jīng)營部又進(jìn)一步采用BSIMM，在南京、上海、西安、深圳和海外局點開展安全性評估，覆蓋無線主要網(wǎng)絡(luò)產(chǎn)品。

自2008年起，新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報告，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃（SSI）。BSIMM是企業(yè)衡量軟件安全的標(biāo)尺，中興通訊可以參考對比業(yè)界優(yōu)秀的實踐活動，以便更加有針對性地改善自身軟件安全成熟度。

目前為止，新思科技已經(jīng)為中興通訊提供了2次BSIMM評估服務(wù)：

• 客觀分析現(xiàn)有的SSI
• 剖析不同行業(yè)垂直領(lǐng)域出色的安全實踐
• 基于公司目前的安全現(xiàn)狀，分享其它有關(guān)公司成功和失敗的案例，并介紹業(yè)界應(yīng)對安全問題的新舉措

2019年，新思科技對中興通訊B8200和8120D兩款5G平臺設(shè)備進(jìn)行了評估，包括為期一個月的代碼安全性評估、一周的安全設(shè)計文檔評估及三天的BSIMM訪談。訪談期間對與軟件安全相關(guān)的主要負(fù)責(zé)人進(jìn)行三輪訪談和多輪溝通會議。評估報告中總結(jié)了中興通訊產(chǎn)品安全狀態(tài)、業(yè)界位置，并根據(jù)實際情況提供了實用的改進(jìn)建議。

2021年，新思科技為中興通訊無線經(jīng)營部5G RAN（包括BBU、AAU/RRU和統(tǒng)一管理專家UME）和5GC（包括核心網(wǎng)、5G編排管理、5G云）等產(chǎn)品的研發(fā)過程進(jìn)行為期三天的評估，之后詳細(xì)解讀評估報告，并和2019年兩款產(chǎn)品的評估結(jié)果進(jìn)行比較，更新改進(jìn)建議。中興通訊此次高分完成評估，在絕大多數(shù)領(lǐng)域遠(yuǎn)超平均分，總體上達(dá)到業(yè)界領(lǐng)先的水平。對比19年的評估結(jié)果，可以看出中興通訊在軟件安全管控上取得了長足的進(jìn)步。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹道：這些采訪中涉及的主題與BSIMM軟件安全框架中的121項活動一致，如軟件安全政策、供應(yīng)商管理和風(fēng)險評級等等。評估結(jié)果在報告中呈現(xiàn)。BSIMM記分卡提供了精準(zhǔn)、簡練的概況和詳細(xì)的分?jǐn)?shù)比較，概述了中興通訊與同類公司執(zhí)行的安全方案之間的對比。

借助BSIMM，中興通訊制定了SSI增強方案，持續(xù)優(yōu)化軟件安全實踐。