新思科技BSIMM9发布，带你了解一下BSIMM

不久前，新思科技全球总裁兼联席CEO陈志宽在出席新思科技武汉研发中心封顶仪式上特别强调，新思科技一直布局在芯片自动化设计解决方案（EDA工具）、芯片IP和信息安全和软件质量三部分。

2017年新思科技年收入为27亿美元，这其中有4亿多美元的收入来自系统软件，安全软件以成为新思科技不可或缺的一部分。

在年初发布的《Gartner魔力象限应用安全测试》报告中，新思已经连续两年被评为 (AST Application Security Testing应用安全测试)领域的“领导者”。

2015年新思科技收购Codenomicon，标志着公司开始真正进入软件质量领域。应该是这家公司真正注重 Software Integrity 平台的开端，Codenomicon最早发现了著名的心血漏洞（Heartbleed）。再加上新思科技此前或此后陆续收购的Coverity、Quotium、Cigital、Codiscope、Black Duck等公司，从而构建了一整套针对软件安全和质量的工具和服务体系，提供了完整的自动化测试工具链，包括计划、设计到最终的发布及响应等全流程产品服务。

近日，新思举行BSIMM9发布会，新思软件质量与安全部门管理顾问Olli Jarva与高级安全架构师杨国梁一同介绍了BSIMM9，从新思科技对于BSIMM的持续投入，我们一方面可以看到新思科技不断关注软件安全的态度，同时也可以看到国内外厂商对于软件质量与安全的重视与日俱增。

新思软件质量与安全部门高级安全架构师杨国梁

新思软件质量与安全部门管理顾问Olli Jarva

从BSIMM谈起

BSIMM（Build Security in Maturity Model）最初由Cigital于2008年构建，这是个软件安全衡量框架，用于评估其当前状态衡量软件安全实施（SSI）有效性的方案。

2008年时，并没有类似BSIMM这类的描述性模型，表征公司信息安全状态。所以在当初，Cigital和9家在信息安全领域靠前的公司合作，通过细致的面对面访谈，做成了成熟的模型。为企业制定了4个领域（治理、情报、触点、部署），12个方面以及116项事件，对企业的各个方面进行评估——包括代码检查、安全测试、员工安全意识等各个方面。通过划分成具体的表格，帮助企业更客观地帮助企业找到自己在安全开发模型中的位置，更能帮助企业在整个行业的安全实践中找到位置。另一方面，在企业完成评估后，新思科技也会根据BSIMM的评估报告，为企业在更好的安全策略计划方面，进行一些帮助——不仅仅是在地图上标示出方位，更是引导企业走上正确的路线。

Jarva表示，软件设计的功能安全性，不光要体现在后续的测试和防火墙上，在前期设计中就会引入大量问题，同时到了实施阶段也需要考虑，所以安全性是贯彻软件开发始终的要求。安全性主要由两方面引起，分别是漏洞和缺陷，目前这两者各占安全影响因素的一半。

“软件安全和软件质量一样，需要从架构分析、建模等前期规划下就开始执行，不能完全指望测试工具或第三方来解决，必须要把安全考量深度融入到软件开发周期（SDLC）中。”Jarva说道。

Jarva表示，从2006年开始，企业在软件开发周期中越来越重视安全问题，也出现了很多第三方的安全模型。目前安全模型分为两个方向，一种是规定性模型，一种是描述性模型。对于规定性模型来讲，就好像医院的处方一样，告诉你应该怎么做，比如SAFECode、SAMM、SDL、Touchpoints等产品。而BSIMM作为评估工具则是通过描述实际发生了什么，因此可以测量任意数量的规范性SSDLs。“BSIMM并不会告诉你针对软件安全该怎么做，只是客观描述现实世界每家公司所做的工作。”Jarva表示。

“没有一片雪花是特殊的。”Jarva解释道，“在微观中，每片雪花都有所不同，但是放到宏观中都是一样的，安全也是如此，尽管不同企业不同行业开展信息安全行动的细枝末节都不相同，但BSIMM都可以进行评估。”

BSIMM9 发布

十年下来，BSIMM已经累计服务了167家公司，此次发布的BSIMM9报告参与公司达120家，BSIMM8则为109家，累计评估数为389次，其中有42家公司接受过2次及以上评估。

目前BSIMM9已经公开下载，下载地址为https://www.bsimm.com/zh-cn/download.html，报告作者为SYNOPSYS公司安全技术副总裁Gary McGraw博士，SYNOPSYS首席科学家Sammy Migues以及ORACLE公司云计算运营副总裁Jacob West。

只要下载看一次BSIMM9，便可轻松看到目前的安全策略。所以Jarva只总结了几点关于BSIMM9的改动及趋势等。

云计算转型：BSIMM模型中增加了三项新活动，它们清楚地表明云端软件安全正在成为主流。此外，在独立软件供应商、物联网公司以及云计算公司（我们最独特的三个垂直行业）中所观察到的活动已经开始趋同，这表明通用云架构需要类似的软件安全方法。

零售业：BSIMM数据池中出现一个新的垂直行业。随着专注于电子商务的新模式成为维持业务顺利发展的关键，软件安全计划正在相对快速地成熟。

群体增长：BSIMM现在涵盖来自120家企业的数据；它所涵盖的开发人员数量增长了43％，其评估的软件安全从业人员数量增长了65％。

BSIMM的评估结果非常直观，会根据蛛网图和具体的得分卡，让公司决策者可以很直观的看出自己企业所处的地位，检验之前的投资结果，并且判断出下一阶段的安全投资方向。

如图所示，通过得分卡和蛛网图，企业可以清晰看到自己在软件安全上所处的地位，同时，客户或者供应商也可以简单明了看到企业的评估，减少沟通误差。

Jarva表示：“BSIMM会员沟通采用线上线下结合的方式，在北美RSA安全大会上每年都会召集BSIMM会员讨论，平时也会通过定期通讯，线上线下研讨会等方式进行交流。”

BSIMM真的有这么好吗？

杨国梁表示BSIMM本身非常开放，愿意接受所有申请客户，但有几点要求，首先是公司应该想好加入BSIMM的原因，是被客户要求的还是公司本身想做好软件安全，第二则是需要有一套切实可行的软件安全计划才有可能进行评估，比如要有SSG角色等基础，不然无法进行评估。

杨国梁介绍道，目前中国的华为和大华都加入了BSIMM，而更多的公司出于各种原因选择匿名，但实际上中国客户不止这两家。

谈到BSIMM的好处，可以参考此前华为和新思联合的发言稿。

华为网络安全与用户隐私业务管理部安全设计主管杨光磊表示，从这几年BSIMM评估的结果来看，华为在很多领域得到了比较明显的提升：

培训领域：一开始评估，华为的安全培训只是零星的开展，没有形成课程和培训体系，相关活动基本没有得分。经过一两年建设，开展了绝大多数活动，培训获得3分；

战略和指标：华为参考业界实践，建立了SDP Track平台（Security Development Platform），对产品安全开发流程中的各个安全活动进行管理，跟踪和了解各个安全活动的数据和状态。在2017年评估中得到了认可；

代码检视：以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描，所有产品使用统一规则。通过改进，将不同类型产品安全编码检查规则嵌入到开发环境中，量身定制的规则和自动化工具做了结合，发现了一些过去没发现的问题。

经过五年BSIMM评估，华为整个软件开发生命周期（SDLC）的安全成熟得到提高。根据最新的BSIMM评估，在BSIMM框架实践中，华为超过了全球行业平均标准。例如，华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。在整个云产品开发过程中，华为不断进行相应的设计安全措施，保证云基础设施尽量少造成因为漏洞而引起的服务中断，或者服务中止，而给客户带来损失。

浙江大华技术股份有限公司网络安全产品线总监张军昌此前接受媒体采访时也表示：“在抵御传统威胁方面，国际上已经有很多比较好的做法和经验，比如使用BSIMM、OpenSAMM这些安全成熟度模型来衡量和演进安全体系，使用sSDLc来管理控制产品安全性。业界在安全细分领域有着较为先进的研究成果和经验，然而随着时代的发展，新兴技术的不断涌现，传统的信息安全也受到了极大的冲击和挑战，面对传统威胁与新技术新威胁的不断碰撞与交织，我们需要用更加开放、合作的模式来迎接新挑战。”

杨国梁和Olli最后也都表达了欢迎更多中国公司加入BSIMM，无论是金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网、保险及零售业等对安全领域尤为看重的企业。