亚洲see图_亚洲第一美胸_哥也色 台湾中文娱乐网

    1. <form id=ApXTNLZIc><nobr id=ApXTNLZIc></nobr></form>
      <address id=ApXTNLZIc><nobr id=ApXTNLZIc><nobr id=ApXTNLZIc></nobr></nobr></address>

      投稿郵箱

      DCWpaper@vip.163.com

      您的位置:主頁 > 行業動態 >
      新思科技助力中興通訊5G産品安全
      来源:数字通信世界   作者:赵法彬   添加时间:2021-05-20 21:18
      新思科技軟件質量與安全部門高級安全架構師楊國梁日前介绍了新思科技助力中興通訊5G産品安全的情况。
      (趙法彬/數字通信世界)5G已经在全球多个国家与地区部署商用,随着5G联网设备的增加与复杂,软件漏洞的数量也会随之增加,5G面临的安全挑战也越来越大,一旦关键设备被攻击,可能会牵连数以万计的联网设备,后果不堪设想。为此,5G网络运营商、设备商、服务商等从不同方面加强5G安全。作为一家综合通信信息解决方案提供商,中兴通讯非常注重软件安全,早在2011年就开始加强软件安全举措,自上而下进行软件开发流程的改进。尤其到了2016年,中兴通讯成立了5G产品线,在默认安全(Secure by Default)的原则下,软件安全成为重中之重。中兴通讯采取积极主动的安全举措,包括采用新思科技(Synopsys)的Coverity静态应用安全测试、Defensics模糊测试、Black Duck软件组成分析以及軟件安全構建成熟度模型(BSIMM)评估等。

      新思科技軟件質量與安全部門高級安全架構師楊國梁
      軟件安全構建成熟度模型(BSIMM)
      新思科技軟件質量與安全部門高級安全架構師楊國梁介绍说,BSIMM(Building Security In Maturity Model,软件安全构建成熟度模型)是一个观察、评估和描述企业的SSI真实状态的工具,这里的SSI(Software Security Initiative)就是软件安全方案的一个真实状态。BSIMM始于2008年,那时新思科技通过与几家全球知名的科技公司谈完之后,归纳出来一个原始框架——Software Security Framework软件安全框架。此后,新思科技每年会对这个框架进行更新,而更新的数据来源就是用当前框架对于一些新公司的评估结果。新思科技总共对200多家企业开展了大约500多次BSIMM的评估,而目前在BSIMM 11(去年10月份发布)的版本里面有130家公司的数据,为什么200家做了评估,而这个版本只有130家呢,是因为我们会对数据新鲜度做一个处理。杨国梁举例说,如果一个公司3、4年没有再做过新的 BSIMM评估,就会被从数据池中移除。BSIMM本身是一个观察性模型,只有被观察的数据足够有代表性,这个模型本身才足够有代表性,所以我们会把长期没有做评估的企业剔除掉,同时也会对模型本身做调整。他还透露,最新的BSIMM 12版本预计于今年10月或11月发布。
      企業爲什麽要進行BSIMM評估呢?楊國梁回答說,通過BSIMM評估,企業高層可以很清楚地掌握自己目前軟件安全方案處于一個什麽樣的狀態,並且還可以了解市面上一些新的軟件安全方法,知道他們開展的怎麽樣,做了哪些事情,這對于企業衡量目前的狀態以及制定計劃是非常有幫助的。也就是說,如果企業做了相應的BSIMM評估,那麽就可以向下遊客戶呈現自己的評估結果,證明自己的軟件生産過程是足夠安全的,也可以要求上遊供應商來做相應的BSIMM評估,讓他們呈現提交供應給的産品是足夠安全的。所以對于整個産業鏈、供應鏈來講,BSIMM都是一個非常有幫助的工具。
      楊國梁表示,BSIMM就是評估了數百家企業的安全狀況之後,得出來的一個框架以及這些真實企業的一個數據的呈現。我們可以完整評估企業從生産到運維的過程中,在安全方面做的怎麽樣。通過BSIMM評估或者對這樣的數據解讀與分析,再對比企業自己的狀況,能夠給企業提供一些軟件安全方面的參考和指導。楊國梁強調,BSIMM是一個免費開放的模型,任何企業都可以拿來進行自評,都可以對自己的安全狀況有一個把握。
      楊國梁認爲BSIMM是目前惟一的觀察性模型,當然市場上也有一些其他模型,它們是會很明確地列出來ABC、123,企業應該怎麽做,達到什麽等級,才能夠獲得幾級的認證資質等。但是BSIMM不是這樣,BSIMM是直接去評估,直接去訪談,訪談之後把企業真實的數據拿過來做一個呈現。BSIMM並不是一個指導性的告訴企業應該做什麽,而是收集完數據之後,告訴企業大家都在做什麽,讓他們看大家在做的事情,對企業有沒有借鑒意義。所以中興通訊可能也是看到了這一點,覺得BSIMM本身是一個非常有活力,非常有代表性的安全模型,能夠從中得到一些對自己有幫助的啓發。
       
      BSIMM不斷完善中興通訊HPPD
      2017年,中興通訊注意到BSIMM這樣的模型,並且借鑒BSIMM模型裏面的一些安全活動,逐漸完善自己的SSI軟件安全計劃,中興通訊自己的研發流程叫HPPD(高性能可靠開發流程)。楊國梁說,中興通訊把BSIMM裏面的一些安全活動逐步的嵌入到了HPPD裏面,而不是機械地把一個活動往裏面加。他們會詳細分析BSIMM的安全活動背後代表的是什麽,爲什麽要開展安全活動,開展安全活動可能會有什麽樣的連帶關系?中興通訊做了這些詳細分析之後,把BSIMM裏面寫出來的安全活動再融入到他們的HPPD流程中。所以到現在爲止,我們給中興通訊提供了兩次BSIMM的評估服務,分別在2019年和2021年。
      杨国梁介绍说,在2019年为中兴通讯做第一次评估时,我们对B8200和8120D两款5G平台设备做了BSIMM的评估,同时还进行了一个月的代码安全性评估和文档评估,提供了一些比较实用的改进建议。时隔一年多,到了2021年初,我们对5G RAN和5GC这两个产品线做了一次BSIMM评估,也在做一些增强方案或者改进方案建议。中兴通讯在安全培训、需求、设计、编码、测试、交付等方面,与2019年相比都有长足的进步,在此次BSIMM评估的过程中,能够明显地感觉到中兴通讯在大多数领域,尤其在安全方面花了很多的功夫,并得到了很好的成果。本次评估中兴通讯高分完成,在绝大多数领域其实是高于平均水平,总体上已经进入了第一梯队。通过评估,中兴通讯在安全能力的系统性里面得到很好的改进。
      楊國梁表示,在兩次評估,中興通訊確實廣泛采用了2019年評估的結果以及我們的建議,在2021年的評估中,我們看到了中興通訊有大量的地方得到了提升與改進,並且進入了第一梯隊,那麽這對中興通訊來講就有一個很好的宣傳的作用,對于其客戶、本身以及上遊供應商的要求,都是一個很好的宣傳內容。楊國梁說,2021年的這次評估之後,中興通訊也認識到了一些欠缺的點,與行業最頂尖廠商可能還是會有一些距離。所以我們也幫助中興通訊制定了一些提升的方案,這對于將來中興通訊繼續維持第一梯隊、甚至更進一步都有一些指導借鑒意義。
      采取BSIMM评估有一个比较实际的好处,就是可以向下游的客户来证明自己的安全能力在什么样的一个位置,借此帮助企业证明自己是有能力应付这些安全挑战,并且交付给客户足够安全的产品。BSIMM更像是一个标尺,企业可以用它来测量自己目前的状态、业界同行业其他公司的平均状态。杨国梁还告诉记者,除了BSIMM之外,其实新思科技与中兴通讯的合作非常深入,甚至早于BSIMM,中兴通讯就已经采用了多款新思科技的安全工具,包括应用安全测试工具Coverity、模糊测试工具Defensics、软件组成分析工具Black Duck、交互式应用安全测试工具Seeker,这些工具在各自细分领域都是最顶尖的安全测试工具。

      ×

      HoMEmenuCopyrights 2015.All rights reserved.More welcome - Collect from power by english Blok number sss85786789633111 Copyright