写点什么

新思科技为中兴通讯提供 BSIMM 软件安全评估

发布于: 2021 年 05 月 24 日
新思科技为中兴通讯提供BSIMM软件安全评估

从中国走向全球

 

中兴通讯股份有限公司(以下简称中兴通讯)是一家综合通信信息解决方案提供商,为全球电信运营商、政企客户和消费者提供创新的技术与产品解决方案。公司成立于 1985 年,在香港和深圳两地上市,业务覆盖 160 多个国家和地区。中兴通讯是全球 5G 规模商用设备商,同时也是 5G 技术研究和标准制定的主要参与者和贡献者,致力于构建 5G 时代自主创新核心竞争力,并凭借 5G 端到端全系列产品与解决方案,加速推进全球 5G 发展,目前已在全球 40 多个国家开展 5G 商用部署。

 

安全对于任何构建和使用软件的企业和个人来说都至关重要, 中兴通讯采取积极主动的安全举措,包括采用新思科技(Synopsys)的 Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析以及软件安全构建成熟度模型(BSIMM)评估等。

 

目标:产品安全研发和交付能力进入业界第一梯队

 

5G 是新一代信息基础设施之一,不仅是国家经济高质量发展的重要引擎,也和普通大众息息相关。5G 可以将当下很多前沿技术结合起来,包括云计算、大数据、人工智能等等,在高度连接的时代,安全挑战难度也在增加。在 5G 时代,联网设备越来越多,也越来越复杂,软件漏洞的数量也会随之增加。一旦关键设备被攻击,可能会牵连数以万计的联网设备,后果不堪设想。

 

2011 年起,中兴通讯就开始加强软件安全举措,自上而下进行软件开发流程的改进。尤其到了 2016 年,中兴通讯成立了 5G 产品线,在默认安全(Secure by Default)的原则下,软件安全成为重中之重。

 

中兴通讯无线经营部产品安全总监杨铁建指出,中兴通讯将产品安全视为产品研发和交付第一优先级。为满足日新月异的市场需求,产品开发人员需快速进行产品开发,但是中兴通讯不会牺牲安全来换取交付速度。我们引入业界安全治理框架、最佳实践,融入公司 HPPD 流程中,并进行持续改进,提升整体软件开发安全成熟度,从流程、制度上保障交付的产品和服务的安全性。

 

同时,杨铁建也表示:“我们采用了大量先进的安全产品、技术和方法,同时我们也以更开放的心态,希望与业界加强沟通,了解自己在行业中所处的位置,并不断识别差距和改进点。中兴通讯无线经营部希望寻求一种系统的安全评估方案,以判断我们的 5G 产品安全研发和交付能力是否已经进入业界第一梯队,力证公司有实力帮助客户应对网络安全挑战。”


新思科技为中兴通讯进行软件安全构建成熟度模型(BSIMM)评估

新思科技已经连续多年在 Gartner 魔力象限应用安全测试中被评为领导者,中兴通讯对新思科技的能力和专业十分认可,并部署过 Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析等安全工具。2017 年,中兴通讯开始借鉴 BSIMM 模型逐步完善软件安全计划,将 BSIMM 定义的软件安全活动嵌入到 HPPD 研发流程中。无线经营部又进一步采用 BSIMM,在南京、上海、西安、深圳和海外局点开展安全性评估,覆盖无线主要网络产品。

 

自 2008 年起,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度 BSIMM 报告,帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM 是企业衡量软件安全的标尺,中兴通讯可以参考对比业界优秀的实践活动,以便更加有针对性地改善自身软件安全成熟度。

 

目前为止,新思科技已经为中兴通讯提供了 2 次 BSIMM 评估服务:

 

  • 客观分析现有的 SSI

  • 剖析不同行业垂直领域出色的安全实践

  • 基于公司目前的安全现状,分享其它有关公司成功和失败的案例,并介绍业界应对安全问题的新举措

 

2019 年,新思科技对中兴通讯 B8200 和 8120D 两款 5G 平台设备进行了评估,包括为期一个月的代码安全性评估、一周的安全设计文档评估及三天的 BSIMM 访谈。访谈期间对与软件安全相关的主要负责人进行三轮访谈和多轮沟通会议。评估报告中总结了中兴通讯产品安全状态、业界位置,并根据实际情况提供了实用的改进建议。

 

2021 年,新思科技为中兴通讯无线经营部 5G RAN(包括 BBU、AAU/RRU 和统一管理专家 UME)和 5GC(包括核心网、5G 编排管理、5G 云)等产品的研发过程进行为期三天的评估,之后详细解读评估报告,并和 2019 年两款产品的评估结果进行比较,更新改进建议。中兴通讯此次高分完成评估,在绝大多数领域远超平均分,总体上达到业界领先的水平。对比 19 年的评估结果,可以看出中兴通讯在软件安全管控上取得了长足的进步。

 

新思科技软件质量与安全部门高级安全架构师杨国梁介绍道:“这些采访中涉及的主题与 BSIMM 软件安全框架中的 121 项活动一致,如软件安全政策、供应商管理和风险评级等等。评估结果在报告中呈现。BSIMM 记分卡提供了精准、简练的概况和详细的分数比较,概述了中兴通讯与同类公司执行的安全方案之间的对比。”

 

借助 BSIMM,中兴通讯制定了 SSI 增强方案,持续优化软件安全实践。

 

成果:安全能力系统性地改进

经过三年多对标 BSIMM 框架以及 BSIMM 评估,中兴通讯无线经营部项目安全能力得到系统性的改进,在安全培训、需求、设计、编码、测试、交付领域都得到了提升。

 

杨铁建表示:“全面进入 5G 市场面临许多挑战,其中,安全性和数据保护尤为重要。新思科技评估团队专业、敬业,对我们的需求能够快速精准地响应。BSIMM 评估模型的评估方式与评估条目紧贴行业和市场的新动向和新标准,不断迭代升级,这与中兴通讯加速推进全球 5G 商用规模部署的战略不谋而合。与新思科技的合作,是中兴通讯致力于为全球客户提供安全、可靠的 5G 全系列产品与解决方案的良好实践。”

 

杨国梁总结道:“发展 5G 为整个产业链带来巨大的机遇,同时,业界也特别强调 5G 网络建设的安全保障。5G 安全需要考虑多个层面,比如 5G 网络本身的通信安全以及 5G 网络承载的上层应用安全。但总的来说,通信设备提供商应该在产品设计之初,就必须充分考虑可靠性和安全性。新思科技会继续为中兴通讯提供测试工具和评估服务等,为构建 5G 时代自主创新核心竞争力提供持续的安全支持。”

用户头像

还未添加个人签名 2020.11.13 加入

还未添加个人简介

评论

发布
暂无评论
新思科技为中兴通讯提供BSIMM软件安全评估