隨著高速物聯(lián)時(shí)代的來臨，5G已經(jīng)成為當(dāng)下全球信息基礎(chǔ)建設(shè)的重要引擎。尤其是數(shù)字支付、數(shù)字人民幣以及越來越多線上應(yīng)用快速普及化的當(dāng)下，5G網(wǎng)絡(luò)的重要性不言而喻，不僅關(guān)乎著國(guó)家的經(jīng)濟(jì)命脈，也和普通大眾的生活息息相關(guān)。

盡管5G如今正將包括云計(jì)算、大數(shù)據(jù)、人工智能等等各類創(chuàng)新技術(shù)融合起來，但這種高度互聯(lián)的大時(shí)代，系統(tǒng)的安全挑戰(zhàn)難度也在成倍增加。畢竟，聯(lián)網(wǎng)設(shè)備正越來越多，結(jié)構(gòu)也越來越復(fù)雜，軟件漏洞的數(shù)量也會(huì)隨之增加。可想而知，一旦關(guān)鍵設(shè)備被攻擊，可能會(huì)牽連數(shù)以萬計(jì)的聯(lián)網(wǎng)設(shè)備，后果將不堪設(shè)想。由此可見，軟件安全的重要性不言而喻。

作為全球軟件技術(shù)領(lǐng)域的代表型企業(yè)，Synopsys已經(jīng)連續(xù)多年在Gartner魔力象限應(yīng)用安全測(cè)試中被評(píng)為領(lǐng)導(dǎo)者。自2008年起，新思科技每年都會(huì)分析不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報(bào)告，幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁表示：“在Synopsys，我們部門SIG（Software Integrity Group）在AST的領(lǐng)域，已經(jīng)連續(xù)幾年位于Gartner最右最上的位置（評(píng)分最高）。我們的BSIMM，全稱為Building Security In Maturity Model軟件安全構(gòu)建成熟度模型，是位于一個(gè)比較高的戰(zhàn)略規(guī)劃和策略的角度，評(píng)估整個(gè)開發(fā)、運(yùn)維的過程中，軟件構(gòu)建、運(yùn)維在安全層面的流程是否足夠安全的關(guān)鍵環(huán)節(jié)。”

軟件安全為什么需要BSIMM？

BSIMM是一個(gè)觀察、評(píng)估和描述企業(yè)的SSI（軟件安全方案）真實(shí)狀態(tài)的一個(gè)工具，初始于2008年，最初的原始框架被稱為Software Security Framework軟件安全框架。自那時(shí)開始，新思科技每年會(huì)對(duì)這個(gè)框架進(jìn)行更新，而更新的數(shù)據(jù)來源于當(dāng)前的框架對(duì)于新的一些公司的評(píng)估結(jié)果。截止目前，新思科技共對(duì)200多家企業(yè)開展了大約500多次BSIMM的評(píng)估，而去年10月份發(fā)布了BSIMM 11的新版本，包括有130家公司的數(shù)據(jù)。

BSIMM是評(píng)估了數(shù)百家企業(yè)的安全狀況之后，得出來的一個(gè)框架以及這些真實(shí)企業(yè)的一個(gè)數(shù)據(jù)的呈現(xiàn)，所以它都是基于科學(xué)觀測(cè)的結(jié)果。新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁表示：“它的價(jià)值就在于說通過這樣的評(píng)估或者對(duì)這樣的數(shù)據(jù)的解讀以及對(duì)數(shù)據(jù)的分析，再對(duì)比自己的狀況，能夠給企業(yè)提供一些軟件安全方面的參考和指導(dǎo)。比如說，在評(píng)估完自己的企業(yè)之后，發(fā)現(xiàn)滲透測(cè)試做的遠(yuǎn)不如行業(yè)平均水平，下一步可能就要把資源向滲透測(cè)試這塊傾斜一點(diǎn)等等，這是對(duì)于高層人員非常有幫助的一些點(diǎn)。同時(shí)BSIMM是一個(gè)免費(fèi)開放的模型，所以任何人都可以拿來進(jìn)行自評(píng)，都可以對(duì)自己的安全狀況有一個(gè)把握。”

因此，借用BSIMM，企業(yè)可以很清楚地掌握自己目前軟件安全方案處于一個(gè)什么樣的狀態(tài)。對(duì)于市面上一些新的軟件安全方法，企業(yè)也可以充分了解它的開展，以及服務(wù)情況。對(duì)于公司衡量目前的狀態(tài)以及制定將來的計(jì)劃，是非常有幫助的。

從更實(shí)際的角度來看，楊國(guó)梁告訴華強(qiáng)電子網(wǎng)記者：“如果企業(yè)做了相應(yīng)的評(píng)估，那么就可以向下游客戶呈現(xiàn)企業(yè)的評(píng)估的結(jié)果，證明自己的軟件生產(chǎn)的過程是足夠安全。企業(yè)也可以要求上游的供應(yīng)商來做相應(yīng)的評(píng)估，讓供應(yīng)商來向企業(yè)呈現(xiàn)提交供應(yīng)給自己的產(chǎn)品是足夠安全的。所以對(duì)于整個(gè)產(chǎn)業(yè)鏈、供應(yīng)鏈來講，它都是一個(gè)非常有幫助的工具。”

中興通訊的BSIMM實(shí)踐

對(duì)于中興這樣以5G業(yè)務(wù)為主導(dǎo)的大型科技公司來說，軟件安全已經(jīng)關(guān)乎業(yè)務(wù)發(fā)展的命脈。因此，從2011年起，中興通訊就開始進(jìn)行自上而下的軟件開發(fā)流程的改進(jìn)。到2016年，中興成立了單獨(dú)的5G產(chǎn)品線，專門做5G的一些產(chǎn)品，在默認(rèn)安全(Secure by Default)的原則下，軟件安全成為重中之重。因此，在2017年中興就開始注意到BSIMM這樣的模型，并且借鑒BSIMM模型里面的一些安全活動(dòng)，逐漸的完善自己的SSI軟件安全計(jì)劃，而中興自己的研發(fā)流程——HPPD(高性能可靠開發(fā)流程)。

中興通訊無線經(jīng)營(yíng)部產(chǎn)品安全總監(jiān)楊鐵建指出，“中興通訊將產(chǎn)品安全視為產(chǎn)品研發(fā)和交付第一優(yōu)先級(jí)。為滿足日新月異的市場(chǎng)需求，產(chǎn)品開發(fā)人員需快速進(jìn)行產(chǎn)品開發(fā)，但是中興通訊不會(huì)犧牲安全來?yè)Q取交付速度。我們引入業(yè)界安全治理框架、最佳實(shí)踐，融入公司HPPD流程中，并進(jìn)行持續(xù)改進(jìn)，提升整體軟件開發(fā)安全成熟度，從流程、制度上保障交付的產(chǎn)品和服務(wù)的安全性。”

同時(shí)，楊鐵建也表示：“我們采用了大量先進(jìn)的安全產(chǎn)品、技術(shù)和方法，同時(shí)我們也以更開放的心態(tài)，希望與業(yè)界加強(qiáng)溝通，了解自己在行業(yè)中所處的位置，并不斷識(shí)別差距和改進(jìn)點(diǎn)。中興通訊無線經(jīng)營(yíng)部希望尋求一種系統(tǒng)的安全評(píng)估方案，以判斷我們的5G產(chǎn)品安全研發(fā)和交付能力是否已經(jīng)進(jìn)入業(yè)界第一梯隊(duì)，力證公司有實(shí)力幫助客戶應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。”

中興把BSIMM里面的一些安全活動(dòng)逐步的嵌入到了HPPD里面，同時(shí)它不是機(jī)械的把一個(gè)活動(dòng)往里面加。楊國(guó)梁表示：“中興會(huì)詳細(xì)的分析BSIMM的安全活動(dòng)，它背后代表的是什么，為什么要開展安全活動(dòng)，開展它可能會(huì)有什么樣的一些連帶關(guān)系？中興做了這些詳細(xì)的分析之后，把BSIMM里面寫出來的安全活動(dòng)再融入到他的HPPD流程中。所以到現(xiàn)在為止，我們給中興通訊提供了兩次BSIMM的評(píng)估服務(wù)，分別在2019年和2021年。”

不過，除了BSIMM之外，新思科技跟中興的合作已經(jīng)是非常深入，甚至早于BSIMM，中興已經(jīng)采用了多款Synopsys事業(yè)部的安全工具，這其中包括應(yīng)用安全測(cè)試工具Coverity、協(xié)議模糊測(cè)試工具Defensics、軟件組成分析工具Black Duck，然后交互式應(yīng)用安全測(cè)試工具Seeker，這些工具本身在各自細(xì)分領(lǐng)域都是最頂尖的安全測(cè)試工具。而在中興也有很深入的跟HPPD集成，以及深入的被開發(fā)人員和安全人員使用的一些經(jīng)驗(yàn)。

“在2019年做第一次評(píng)估的時(shí)候，我們就對(duì)B8200和8120D兩款5G平臺(tái)設(shè)備做了BSIMM的評(píng)估。同時(shí)除了BSIMM評(píng)估之外，我們還進(jìn)行了一個(gè)月的代碼安全性評(píng)估和文檔評(píng)估，提供了一些比較實(shí)用的改進(jìn)建議。時(shí)隔一年多，到了2021年初，我們對(duì)5G RAN和5GC這兩個(gè)產(chǎn)品線做了一次BSIMM評(píng)估。這里我們和2019年自然會(huì)產(chǎn)生一些對(duì)比，以及基于2021年的BSIMM評(píng)估，我們也在做一些增強(qiáng)方案或者改進(jìn)方案建議。”楊國(guó)梁進(jìn)一步補(bǔ)充到。

總的來說，楊國(guó)梁總結(jié)到：“中興通訊在安全能力的系統(tǒng)性里面得到很好的改進(jìn)。本次評(píng)估，他們也高分完成了評(píng)估，在絕大多數(shù)領(lǐng)域其實(shí)是高于平均水平，總體上已經(jīng)進(jìn)入了第一梯隊(duì)。而這里所謂的第一梯隊(duì)是我們根據(jù)BSIMM得分一個(gè)自然的劃分，羅列出來的幾檔，但是總之中興已經(jīng)處于最高水位第一梯隊(duì)的那一檔。中興正持續(xù)在采購(gòu)我們的測(cè)試工具。我們的支持人員也每天都在跟中興往來，支持他們使用這些工具。像Coverity、Defensics、Black Duck這種工具，中興已經(jīng)用了大概有5到7年了。”

5G物聯(lián)時(shí)代，軟件安全將走向何方？

實(shí)際上，從BSIMM 9版本開始，Synopsys就發(fā)現(xiàn)一些跟云相關(guān)的活動(dòng)和以及與DevOps相關(guān)的活動(dòng)。這些活動(dòng)從出現(xiàn)到如今也就經(jīng)歷了2到3年三個(gè)版本不到，但是它被采用的頻率是比其他的活動(dòng)是更高的。這也充分說明云化、自動(dòng)化這是一個(gè)不可逆的，或者說所有的行業(yè)都在采用的一個(gè)趨勢(shì)。另外，過去曾經(jīng)被看作一些不相關(guān)的行業(yè)，如軟件供應(yīng)商、零售商、云廠商、做設(shè)備的廠商，如今的這些安全活動(dòng)也逐漸開始出現(xiàn)了趨同的現(xiàn)象。

楊國(guó)梁認(rèn)為：“我們現(xiàn)在只是觀測(cè)，大家做軟件安全這個(gè)事情，可能會(huì)越來越傾向于采用同樣的高效手段來做這個(gè)事情。當(dāng)然這個(gè)可能跟我們開展評(píng)估的范圍有關(guān)，一些新的行業(yè)被采納進(jìn)來，除了我們之前做的最多的金融業(yè)，現(xiàn)在會(huì)有物聯(lián)網(wǎng)、零售、云等等各種各樣的行業(yè)，都會(huì)加入到這樣的評(píng)估。”

具體到通訊方面，過去，一款設(shè)備可能幾個(gè)月才能開發(fā)出來。但現(xiàn)在，每一個(gè)迭代周期可能只有一周、兩周。包括像5G的一些產(chǎn)品，可能上層完全是服務(wù)導(dǎo)向，這些服務(wù)迭代的速度會(huì)更快。

所以說到如今軟件的安全趨勢(shì)，不同行業(yè)做安全的方法可能會(huì)趨同，可能根本原因是這些行業(yè)面臨的風(fēng)險(xiǎn)可能就已經(jīng)趨同。楊國(guó)梁表示：“比如說之前我們認(rèn)為不太會(huì)涉及、發(fā)生的非常底層的一些安全攻擊，或者非常隔離網(wǎng)絡(luò)下的一些安全攻擊，但是現(xiàn)在我們看到越來越多。都是因?yàn)檫@些連接越來越好了，被連接的系統(tǒng)越來越多，所以當(dāng)他面臨的攻擊變得趨同或者越來越多的時(shí)候，采用的安全手段或者安全方法也可能會(huì)變得越來越偏向于DevSecOps這樣的模式。這也是BSIMM模型里面觀察到的一些結(jié)果，舉個(gè)例子來說，可能我們直接匯報(bào)給CEO的有一個(gè)CISO，CISO領(lǐng)著一撥人對(duì)安全進(jìn)行審計(jì)、治理、測(cè)試、抽審等等，這樣的模式可能已經(jīng)不足以滿足越來越快的開發(fā)迭代交付的這種模型。”

所以，如今也能看到有一些安全開發(fā)的部門，會(huì)自發(fā)的產(chǎn)生一些安全活動(dòng)。比如說嵌入在他們的開發(fā)流程里面，更好用的、準(zhǔn)確性更高的、干預(yù)更少的一些安全工具，他們會(huì)自己探索去使用。因此這些趨勢(shì)不只是在一些原先像互聯(lián)網(wǎng)類的企業(yè)，像在中興通訊類的客戶，如今也有越來越多的需求，這也是Synopsys未來能夠全面擴(kuò)張軟件安全業(yè)務(wù)，為科技產(chǎn)業(yè)“保駕護(hù)航”的根基所在。