随着高速物联时代的来临,5G已经成为当下全球信息基础建设的重要引擎。尤其是数字支付、数字人民币以及越来越多线上应用快速普及化的当下,5G网络的重要性不言而喻,不仅关乎着国家的经济命脉,也和普通大众的生活息息相关。
尽管5G如今正将包括云计算、大数据、人工智能等等各类创新技术融合起来,但这种高度互联的大时代,系统的安全挑战难度也在成倍增加。毕竟,联网设备正越来越多,结构也越来越复杂,软件漏洞的数量也会随之增加。可想而知,一旦关键设备被攻击,可能会牵连数以万计的联网设备,后果将不堪设想。由此可见,软件安全的重要性不言而喻。
作为全球软件技术领域的代表型企业,Synopsys已经连续多年在Gartner魔力象限应用安全测试中被评为领导者。自2008年起,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度BSIMM报告,帮助企业规划、执行、评估和完善其软件安全计划(SSI)。
新思科技软件质量与安全部门高级安全架构师杨国梁表示:“在Synopsys,我们部门SIG(Software Integrity Group)在AST的领域,已经连续几年位于Gartner最右最上的位置(评分最高)。我们的BSIMM,全称为Building Security In Maturity Model软件安全构建成熟度模型,是位于一个比较高的战略规划和策略的角度,评估整个开发、运维的过程中,软件构建、运维在安全层面的流程是否足够安全的关键环节。”
软件安全为什么需要BSIMM?
BSIMM是一个观察、评估和描述企业的SSI(软件安全方案)真实状态的一个工具,初始于2008年,最初的原始框架被称为Software Security Framework软件安全框架。自那时开始,新思科技每年会对这个框架进行更新,而更新的数据来源于当前的框架对于新的一些公司的评估结果。截止目前,新思科技共对200多家企业开展了大约500多次BSIMM的评估,而去年10月份发布了BSIMM 11的新版本,包括有130家公司的数据。
BSIMM是评估了数百家企业的安全状况之后,得出来的一个框架以及这些真实企业的一个数据的呈现,所以它都是基于科学观测的结果。新思科技软件质量与安全部门高级安全架构师杨国梁表示:“它的价值就在于说通过这样的评估或者对这样的数据的解读以及对数据的分析,再对比自己的状况,能够给企业提供一些软件安全方面的参考和指导。比如说,在评估完自己的企业之后,发现渗透测试做的远不如行业平均水平,下一步可能就要把资源向渗透测试这块倾斜一点等等,这是对于高层人员非常有帮助的一些点。同时BSIMM是一个免费开放的模型,所以任何人都可以拿来进行自评,都可以对自己的安全状况有一个把握。”
因此,借用BSIMM,企业可以很清楚地掌握自己目前软件安全方案处于一个什么样的状态。对于市面上一些新的软件安全方法,企业也可以充分了解它的开展,以及服务情况。对于公司衡量目前的状态以及制定将来的计划,是非常有帮助的。
从更实际的角度来看,杨国梁告诉华强电子网记者:“如果企业做了相应的评估,那么就可以向下游客户呈现企业的评估的结果,证明自己的软件生产的过程是足够安全。企业也可以要求上游的供应商来做相应的评估,让供应商来向企业呈现提交供应给自己的产品是足够安全的。所以对于整个产业链、供应链来讲,它都是一个非常有帮助的工具。”
中兴通讯的BSIMM实践
对于中兴这样以5G业务为主导的大型科技公司来说,软件安全已经关乎业务发展的命脉。因此,从2011年起,中兴通讯就开始进行自上而下的软件开发流程的改进。到2016年,中兴成立了单独的5G产品线,专门做5G的一些产品,在默认安全(Secure by Default)的原则下,软件安全成为重中之重。因此,在2017年中兴就开始注意到BSIMM这样的模型,并且借鉴BSIMM模型里面的一些安全活动,逐渐的完善自己的SSI软件安全计划,而中兴自己的研发流程——HPPD(高性能可靠开发流程)。
中兴通讯无线经营部产品安全总监杨铁建指出,“中兴通讯将产品安全视为产品研发和交付第一优先级。为满足日新月异的市场需求,产品开发人员需快速进行产品开发,但是中兴通讯不会牺牲安全来换取交付速度。我们引入业界安全治理框架、最佳实践,融入公司HPPD流程中,并进行持续改进,提升整体软件开发安全成熟度,从流程、制度上保障交付的产品和服务的安全性。”
同时,杨铁建也表示:“我们采用了大量先进的安全产品、技术和方法,同时我们也以更开放的心态,希望与业界加强沟通,了解自己在行业中所处的位置,并不断识别差距和改进点。中兴通讯无线经营部希望寻求一种系统的安全评估方案,以判断我们的5G产品安全研发和交付能力是否已经进入业界第一梯队,力证公司有实力帮助客户应对网络安全挑战。”
中兴把BSIMM里面的一些安全活动逐步的嵌入到了HPPD里面,同时它不是机械的把一个活动往里面加。杨国梁表示:“中兴会详细的分析BSIMM的安全活动,它背后代表的是什么,为什么要开展安全活动,开展它可能会有什么样的一些连带关系?中兴做了这些详细的分析之后,把BSIMM里面写出来的安全活动再融入到他的HPPD流程中。所以到现在为止,我们给中兴通讯提供了两次BSIMM的评估服务,分别在2019年和2021年。”
不过,除了BSIMM之外,新思科技跟中兴的合作已经是非常深入,甚至早于BSIMM,中兴已经采用了多款Synopsys事业部的安全工具,这其中包括应用安全测试工具Coverity、协议模糊测试工具Defensics、软件组成分析工具Black Duck,然后交互式应用安全测试工具Seeker,这些工具本身在各自细分领域都是最顶尖的安全测试工具。而在中兴也有很深入的跟HPPD集成,以及深入的被开发人员和安全人员使用的一些经验。
“在2019年做第一次评估的时候,我们就对B8200和8120D两款5G平台设备做了BSIMM的评估。同时除了BSIMM评估之外,我们还进行了一个月的代码安全性评估和文档评估,提供了一些比较实用的改进建议。时隔一年多,到了2021年初,我们对5G RAN和5GC这两个产品线做了一次BSIMM评估。这里我们和2019年自然会产生一些对比,以及基于2021年的BSIMM评估,我们也在做一些增强方案或者改进方案建议。”杨国梁进一步补充到。
总的来说,杨国梁总结到:“中兴通讯在安全能力的系统性里面得到很好的改进。本次评估,他们也高分完成了评估,在绝大多数领域其实是高于平均水平,总体上已经进入了第一梯队。而这里所谓的第一梯队是我们根据BSIMM得分一个自然的划分,罗列出来的几档,但是总之中兴已经处于最高水位第一梯队的那一档。中兴正持续在采购我们的测试工具。我们的支持人员也每天都在跟中兴往来,支持他们使用这些工具。像Coverity、Defensics、Black Duck这种工具,中兴已经用了大概有5到7年了。”
5G物联时代,软件安全将走向何方?
实际上,从BSIMM 9版本开始,Synopsys就发现一些跟云相关的活动和以及与DevOps相关的活动。这些活动从出现到如今也就经历了2到3年三个版本不到,但是它被采用的频率是比其他的活动是更高的。这也充分说明云化、自动化这是一个不可逆的,或者说所有的行业都在采用的一个趋势。另外,过去曾经被看作一些不相关的行业,如软件供应商、零售商、云厂商、做设备的厂商,如今的这些安全活动也逐渐开始出现了趋同的现象。
杨国梁认为:“我们现在只是观测,大家做软件安全这个事情,可能会越来越倾向于采用同样的高效手段来做这个事情。当然这个可能跟我们开展评估的范围有关,一些新的行业被采纳进来,除了我们之前做的最多的金融业,现在会有物联网、零售、云等等各种各样的行业,都会加入到这样的评估。”
具体到通讯方面,过去,一款设备可能几个月才能开发出来。但现在,每一个迭代周期可能只有一周、两周。包括像5G的一些产品,可能上层完全是服务导向,这些服务迭代的速度会更快。
所以说到如今软件的安全趋势,不同行业做安全的方法可能会趋同,可能根本原因是这些行业面临的风险可能就已经趋同。杨国梁表示:“比如说之前我们认为不太会涉及、发生的非常底层的一些安全攻击,或者非常隔离网络下的一些安全攻击,但是现在我们看到越来越多。都是因为这些连接越来越好了,被连接的系统越来越多,所以当他面临的攻击变得趋同或者越来越多的时候,采用的安全手段或者安全方法也可能会变得越来越偏向于DevSecOps这样的模式。这也是BSIMM模型里面观察到的一些结果,举个例子来说,可能我们直接汇报给CEO的有一个CISO,CISO领着一拨人对安全进行审计、治理、测试、抽审等等,这样的模式可能已经不足以满足越来越快的开发迭代交付的这种模型。”
所以,如今也能看到有一些安全开发的部门,会自发的产生一些安全活动。比如说嵌入在他们的开发流程里面,更好用的、准确性更高的、干预更少的一些安全工具,他们会自己探索去使用。因此这些趋势不只是在一些原先像互联网类的企业,像在中兴通讯类的客户,如今也有越来越多的需求,这也是Synopsys未来能够全面扩张软件安全业务,为科技产业“保驾护航”的根基所在。