5G高速物聯(lián)時代 BSIMM如何構(gòu)筑軟件安全“堡壘”？

隨著高速物聯(lián)時代的來臨，5G已經(jīng)成為當下全球信息基礎(chǔ)建設(shè)的重要引擎。尤其是數(shù)字支付、數(shù)字人民幣以及越來越多線上應(yīng)用快速普及化的當下，5G網(wǎng)絡(luò)的重要性不言而喻，不僅關(guān)乎著國家的經(jīng)濟命脈，也和普通大眾的生活息息相關(guān)。

盡管5G如今正將包括云計算、大數(shù)據(jù)、人工智能等等各類創(chuàng)新技術(shù)融合起來，但這種高度互聯(lián)的大時代，系統(tǒng)的安全挑戰(zhàn)難度也在成倍增加。畢竟，聯(lián)網(wǎng)設(shè)備正越來越多，結(jié)構(gòu)也越來越復雜，軟件漏洞的數(shù)量也會隨之增加。可想而知，一旦關(guān)鍵設(shè)備被攻擊，可能會牽連數(shù)以萬計的聯(lián)網(wǎng)設(shè)備，后果將不堪設(shè)想。由此可見，軟件安全的重要性不言而喻。

作為全球軟件技術(shù)領(lǐng)域的代表型企業(yè)，Synopsys已經(jīng)連續(xù)多年在Gartner魔力象限應(yīng)用安全測試中被評為領(lǐng)導者。自2008年起，新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報告，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“在Synopsys，我們部門SIG（Software Integrity Group）在AST的領(lǐng)域，已經(jīng)連續(xù)幾年位于Gartner最右最上的位置（評分最高）。我們的BSIMM，全稱為Building Security In Maturity Model軟件安全構(gòu)建成熟度模型，是位于一個比較高的戰(zhàn)略規(guī)劃和策略的角度，評估整個開發(fā)、運維的過程中，軟件構(gòu)建、運維在安全層面的流程是否足夠安全的關(guān)鍵環(huán)節(jié)。”

軟件安全為什么需要BSIMM？

BSIMM是一個觀察、評估和描述企業(yè)的SSI（軟件安全方案）真實狀態(tài)的一個工具，初始于2008年，最初的原始框架被稱為Software Security Framework軟件安全框架。自那時開始，新思科技每年會對這個框架進行更新，而更新的數(shù)據(jù)來源于當前的框架對于新的一些公司的評估結(jié)果。截止目前，新思科技共對200多家企業(yè)開展了大約500多次BSIMM的評估，而去年10月份發(fā)布了BSIMM 11的新版本，包括有130家公司的數(shù)據(jù)。

BSIMM是評估了數(shù)百家企業(yè)的安全狀況之后，得出來的一個框架以及這些真實企業(yè)的一個數(shù)據(jù)的呈現(xiàn)，所以它都是基于科學觀測的結(jié)果。新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“它的價值就在于說通過這樣的評估或者對這樣的數(shù)據(jù)的解讀以及對數(shù)據(jù)的分析，再對比自己的狀況，能夠給企業(yè)提供一些軟件安全方面的參考和指導。比如說，在評估完自己的企業(yè)之后，發(fā)現(xiàn)滲透測試做的遠不如行業(yè)平均水平，下一步可能就要把資源向滲透測試這塊傾斜一點等等，這是對于高層人員非常有幫助的一些點。同時BSIMM是一個免費開放的模型，所以任何人都可以拿來進行自評，都可以對自己的安全狀況有一個把握。”

因此，借用BSIMM，企業(yè)可以很清楚地掌握自己目前軟件安全方案處于一個什么樣的狀態(tài)。對于市面上一些新的軟件安全方法，企業(yè)也可以充分了解它的開展，以及服務(wù)情況。對于公司衡量目前的狀態(tài)以及制定將來的計劃，是非常有幫助的。

從更實際的角度來看，楊國梁告訴華強電子網(wǎng)記者：“如果企業(yè)做了相應(yīng)的評估，那么就可以向下游客戶呈現(xiàn)企業(yè)的評估的結(jié)果，證明自己的軟件生產(chǎn)的過程是足夠安全。企業(yè)也可以要求上游的供應(yīng)商來做相應(yīng)的評估，讓供應(yīng)商來向企業(yè)呈現(xiàn)提交供應(yīng)給自己的產(chǎn)品是足夠安全的。所以對于整個產(chǎn)業(yè)鏈、供應(yīng)鏈來講，它都是一個非常有幫助的工具。”

中興通訊的BSIMM實踐

對于中興這樣以5G業(yè)務(wù)為主導的大型科技公司來說，軟件安全已經(jīng)關(guān)乎業(yè)務(wù)發(fā)展的命脈。因此，從2011年起，中興通訊就開始進行自上而下的軟件開發(fā)流程的改進。到2016年，中興成立了單獨的5G產(chǎn)品線，專門做5G的一些產(chǎn)品，在默認安全(Secure by Default)的原則下，軟件安全成為重中之重。因此，在2017年中興就開始注意到BSIMM這樣的模型，并且借鑒BSIMM模型里面的一些安全活動，逐漸的完善自己的SSI軟件安全計劃，而中興自己的研發(fā)流程——HPPD(高性能可靠開發(fā)流程)。

中興通訊無線經(jīng)營部產(chǎn)品安全總監(jiān)楊鐵建指出，“中興通訊將產(chǎn)品安全視為產(chǎn)品研發(fā)和交付第一優(yōu)先級。為滿足日新月異的市場需求，產(chǎn)品開發(fā)人員需快速進行產(chǎn)品開發(fā)，但是中興通訊不會犧牲安全來換取交付速度。我們引入業(yè)界安全治理框架、最佳實踐，融入公司HPPD流程中，并進行持續(xù)改進，提升整體軟件開發(fā)安全成熟度，從流程、制度上保障交付的產(chǎn)品和服務(wù)的安全性。”

同時，楊鐵建也表示：“我們采用了大量先進的安全產(chǎn)品、技術(shù)和方法，同時我們也以更開放的心態(tài)，希望與業(yè)界加強溝通，了解自己在行業(yè)中所處的位置，并不斷識別差距和改進點。中興通訊無線經(jīng)營部希望尋求一種系統(tǒng)的安全評估方案，以判斷我們的5G產(chǎn)品安全研發(fā)和交付能力是否已經(jīng)進入業(yè)界第一梯隊，力證公司有實力幫助客戶應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。”

中興把BSIMM里面的一些安全活動逐步的嵌入到了HPPD里面，同時它不是機械的把一個活動往里面加。楊國梁表示：“中興會詳細的分析BSIMM的安全活動，它背后代表的是什么，為什么要開展安全活動，開展它可能會有什么樣的一些連帶關(guān)系？中興做了這些詳細的分析之后，把BSIMM里面寫出來的安全活動再融入到他的HPPD流程中。所以到現(xiàn)在為止，我們給中興通訊提供了兩次BSIMM的評估服務(wù)，分別在2019年和2021年。”

不過，除了BSIMM之外，新思科技跟中興的合作已經(jīng)是非常深入，甚至早于BSIMM，中興已經(jīng)采用了多款Synopsys事業(yè)部的安全工具，這其中包括應(yīng)用安全測試工具Coverity、協(xié)議模糊測試工具Defensics、軟件組成分析工具Black Duck，然后交互式應(yīng)用安全測試工具Seeker，這些工具本身在各自細分領(lǐng)域都是最頂尖的安全測試工具。而在中興也有很深入的跟HPPD集成，以及深入的被開發(fā)人員和安全人員使用的一些經(jīng)驗。

“在2019年做第一次評估的時候，我們就對B8200和8120D兩款5G平臺設(shè)備做了BSIMM的評估。同時除了BSIMM評估之外，我們還進行了一個月的代碼安全性評估和文檔評估，提供了一些比較實用的改進建議。時隔一年多，到了2021年初，我們對5G RAN和5GC這兩個產(chǎn)品線做了一次BSIMM評估。這里我們和2019年自然會產(chǎn)生一些對比，以及基于2021年的BSIMM評估，我們也在做一些增強方案或者改進方案建議。”楊國梁進一步補充到。

總的來說，楊國梁總結(jié)到：“中興通訊在安全能力的系統(tǒng)性里面得到很好的改進。本次評估，他們也高分完成了評估，在絕大多數(shù)領(lǐng)域其實是高于平均水平，總體上已經(jīng)進入了第一梯隊。而這里所謂的第一梯隊是我們根據(jù)BSIMM得分一個自然的劃分，羅列出來的幾檔，但是總之中興已經(jīng)處于最高水位第一梯隊的那一檔。中興正持續(xù)在采購我們的測試工具。我們的支持人員也每天都在跟中興往來，支持他們使用這些工具。像Coverity、Defensics、Black Duck這種工具，中興已經(jīng)用了大概有5到7年了。”

5G物聯(lián)時代，軟件安全將走向何方？

實際上，從BSIMM 9版本開始，Synopsys就發(fā)現(xiàn)一些跟云相關(guān)的活動和以及與DevOps相關(guān)的活動。這些活動從出現(xiàn)到如今也就經(jīng)歷了2到3年三個版本不到，但是它被采用的頻率是比其他的活動是更高的。這也充分說明云化、自動化這是一個不可逆的，或者說所有的行業(yè)都在采用的一個趨勢。另外，過去曾經(jīng)被看作一些不相關(guān)的行業(yè)，如軟件供應(yīng)商、零售商、云廠商、做設(shè)備的廠商，如今的這些安全活動也逐漸開始出現(xiàn)了趨同的現(xiàn)象。

楊國梁認為：“我們現(xiàn)在只是觀測，大家做軟件安全這個事情，可能會越來越傾向于采用同樣的高效手段來做這個事情。當然這個可能跟我們開展評估的范圍有關(guān)，一些新的行業(yè)被采納進來，除了我們之前做的最多的金融業(yè)，現(xiàn)在會有物聯(lián)網(wǎng)、零售、云等等各種各樣的行業(yè)，都會加入到這樣的評估。”

具體到通訊方面，過去，一款設(shè)備可能幾個月才能開發(fā)出來。但現(xiàn)在，每一個迭代周期可能只有一周、兩周。包括像5G的一些產(chǎn)品，可能上層完全是服務(wù)導向，這些服務(wù)迭代的速度會更快。

所以說到如今軟件的安全趨勢，不同行業(yè)做安全的方法可能會趨同，可能根本原因是這些行業(yè)面臨的風險可能就已經(jīng)趨同。楊國梁表示：“比如說之前我們認為不太會涉及、發(fā)生的非常底層的一些安全攻擊，或者非常隔離網(wǎng)絡(luò)下的一些安全攻擊，但是現(xiàn)在我們看到越來越多。都是因為這些連接越來越好了，被連接的系統(tǒng)越來越多，所以當他面臨的攻擊變得趨同或者越來越多的時候，采用的安全手段或者安全方法也可能會變得越來越偏向于DevSecOps這樣的模式。這也是BSIMM模型里面觀察到的一些結(jié)果，舉個例子來說，可能我們直接匯報給CEO的有一個CISO，CISO領(lǐng)著一撥人對安全進行審計、治理、測試、抽審等等，這樣的模式可能已經(jīng)不足以滿足越來越快的開發(fā)迭代交付的這種模型。”

所以，如今也能看到有一些安全開發(fā)的部門，會自發(fā)的產(chǎn)生一些安全活動。比如說嵌入在他們的開發(fā)流程里面，更好用的、準確性更高的、干預更少的一些安全工具，他們會自己探索去使用。因此這些趨勢不只是在一些原先像互聯(lián)網(wǎng)類的企業(yè)，像在中興通訊類的客戶，如今也有越來越多的需求，這也是Synopsys未來能夠全面擴張軟件安全業(yè)務(wù)，為科技產(chǎn)業(yè)“保駕護航”的根基所在。