“对于从事软件开发的企业来说,软件质量和安全是刚性指标之一,而且还是一个持续改善的过程。在这个过程中,需要用到部分工具作为指导,帮助企业提前完成检测甚至是解决问题。”新思科技软件质量与安全部门高级安全架构师杨国梁曾在公开场合一度表示。
新思科技软件质量与安全部门高级安全架构师 杨国梁
基于这个理念,新思科技从一家主业为EDA和IP(集成电子电路辅助设计)的企业,在2014年开始进入软件安全业务领域。
在研发软件各阶段多种安全工具落地的实践中,推出了一款从2008年就持续更新、以客观数据“说话”的评估模型BSIMM。
不同于通常提及的安全开发评估中的指导性模型,新思科技BSIMM可以被认为是描述性模型。
简单来说,BSIMM的最大区别在于并非指导企业如何继续自身的软件安全工序,而是描述企业关于软件安全“目前正在做什么、或者已经做了哪些事儿”。
从现实的角度出发,企业开展业务,涉足SDLC开发生命周期时,起初会遵循,例如微软SDL或者OpenSAMM,开展之后再用BSIMM评估进程如何、做的怎样、还有哪些方面缺失等。
对此新思科技强调,BSIMM相对比较独特的一点,就是可以用来评估各种各样的指导性模型。
相关数据显示,截至目前,BSIMM模型已经评估了146家不同领域的企业;最新版本BSIMM8,有统计称,也完成了109个安全的开展计划。
据记者了解,在总体的321次独立评估中,就有36家企业超过一次做过BSIMM评估,最多的一家做过5次以上。
除了倾向于“描述性”,有丰富的实践经验外,BSIMM模型究竟还有什么神奇之处?
从根源出发,在BSIMM模型的框架中,我们发现,描述范围主要涉及四个维度。
例如Governance。主要是指治理部分,也就是会涉及到企业内部流程该怎样开展,内部培训该怎样进行等信息。
关于这点,已经借助BSIMM完成增强现有SSI方案工作的华为深有感触!
举例来说,华为的培训领域在2013年开始第一次评估的时候,基本上属于level 1的水平。
由于当时只是做了零星培训,并没有一个系统的安全培训的工作体系,相关活动基本没有得分。评估之后,华为及时意识到这是一个不小的短板,所以针对性做了整个系统的改进。
“我们建立了完善的培训体系,包括从国外引进来培训课程,针对普通的研发人员以及专业的安全人员设计了不同的安全领域课程。例如普通人员,学习基本的安全意识或者基本技能就可以;而专业人员则需要更进阶的课程。如此经过一两年建设,培训环节终于获得3分。”华为网络安全与用户隐私业务管理部安全设计主管杨光磊表示。
Intelligence代表一些情报,指的是有没有把正确的内容给正确的人,放在正确的地方;SSDL Touchpoints则表示在这个SDL开展的过程中,触点有没有做好,位置、时间点设计是否足够合理等指标。
Deployment表达在部署阶段,例如这个产品最终要部署到线上去使用,那么对于线上的环境考虑、配置指导,或者一些文档等有没有考虑的足够详尽。
此外, 杨国梁强调,新思科技内部能够做BSIMM评估的人都是经过非常严格的遴选的。
简单来说,每个评估师着手的客户都不同,完成后数据得到汇集,最终得出的也只是一个平均数据,反映了行业的平均情况,并不会泄露企业的数据隐私。
从发展角度来说,尽管新思科技方面表示,不会去专门对某个领域或者某个细分的技术做过多详细的评估,但如果作为开发过程中必须要涉及的一部分,也会与时俱进有所侧重。
“我们倾向于不要把BSIMM做为一个互相对比的模型,而是展示企业能力或者评估企业安全水平的模型,尽管在一些垂直行业或者细分领域,肯定会有安全系数很高的企业存在。”杨国梁补充道。
例如,金融类的企业可能会在合规方面得分情况,或者说安全成熟情况就比其他领域的企业表现出色;如果评估云厂商,合规这方面可能就没有金融类那么关注,但它可能在其他的领域会更加侧重。
总结来看,利用BSIMM模型来开展安全评估时,会覆盖到整个研发过程中对于安全考量的方方面面,不单单是写代码的各个阶段,还包括策略制定怎样,上线之后环境保护如何等。
一直以来关于软件安全问题,无论是国内还是国际,如果不将其完整融入研发流程中,而是选择上线后再来修复的话,这个成本或者开销就会变得非常惊人。
新思科技软件质量与安全部门管理顾问Olli Jarva认为,为了节约,一定要把“安全”不停往左推,结果就是加入到研发周期中;不然的话,一个不负责任的研发很可能会选择跨过安全门线,继续做出低质量的产品。
新思科技软件质量与安全部门管理顾问 Olli Jarva
但是将安全的工具、理念或者评估模型往左推的同时,又可以做到不带来太大负担,还是目前世界范围内所面临的一个问题,更是新思科技着力要解决的事情。
对此,与新思科技想法如出一撤的还有好伙伴之一——华为。
一直以来,业界爆出的几个重大漏洞,例如Wannacry,英特尔CPU漏洞等,导致企业对安全性很敏感。
在安全培训和意识宣传的工作上,杨光磊总结道,华为需要持续不断地将一些业界案例,或者最新的与行业相关的事件推出,再搭配到位的培训和教育,才会让整个安全的开发过程更容易推行与实施。
从近几年BSIMM评估的结果来看,华为在很多领域得到了比较明显的提升。
例如建立了SDP Track平台(Security Development Platform),对产品安全开发流程中的各个安全活动进行管理,跟踪和了解。
据悉,华为以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描,所有产品使用统一规则;如今通过改善,将不同类型产品安全编码检查规则嵌入到开发环境中,量身定制的规则和自动化工具相结合,发现了很多过去没发现的问题。
针对BSIMM评估,华为方面表示,未来还会持续进行。“每年都会选取不同的产品进行评估,来保证基础设施可以尽量少地带来因漏洞引起的服务中断或者服务中止,避免给客户带来不必要的麻烦。”杨光磊补充道。