华为研发网络安全与用户隐私保护业务管理部负责人萧永顺表示,通过引入新思科技软件安全构建成熟度模型(BSIMM)评估系统,经过五年的努力,公司整个软件开发生命周期(SDLC)的安全成熟度得到提高。根据最新的评估,华为超过了全球行业平均标准。例如,华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。
BSIMM是新思科技软件质量与安全部门提供的一个测量和评估软件安全计划(SSI)的工具,帮助企业持续构建安全的、高质量的软件,在提升研发速度和生产力的同时降低风险。2008年,Cigital公司开发了BSIMM,2016年该公司被新思科技收购。BSIMM通过观察和分析全球杰出SSI的真实数据,帮助企业理解、衡量和规划SSI。凭借BSIMM评估,华为可以参考对比业界优秀的实践活动,以便更加有针对性地改善自身软件安全成熟度。
据悉,华为在2013年首次进行了BSIMM评估。每轮评估过程大概2到3个月,包括了一系列访问和培训。首先,新思科技对公司安全相关的主要负责人进行了采访,对华为内部执行的软件安全方案进行评估。这些采访中涉及的主题与BSIMM软件安全框架一致,如华为的软件安全政策、供应商管理和风险评级等等。之后,新思科技软件质量与安全部门面向华为软件安全团队,开展了活动培训,探讨其他企业的最佳实践。另外,公司的决策层也会接受相关的培训,充分了解公司安全计划的状态。评估结果在一份报告中呈现。BSIMM记分卡提供了精准、简练的概况和详细的分数比较,概述了华为与同类公司执行的安全方案之间的差异。从这几年BSIMM评估的结果来看,华为在很多领域得到了比较明显的提升。
收藏
