（赵法彬/数字通信世界）5G已经在全球多个国家与地区部署商用，随着5G联网设备的增加与复杂，软件漏洞的数量也会随之增加，5G面临的安全挑战也越来越大，一旦关键设备被攻击，可能会牵连数以万计的联网设备，后果不堪设想。为此，5G网络运营商、设备商、服务商等从不同方面加强5G安全。作为一家综合通信信息解决方案提供商，中兴通讯非常注重软件安全，早在2011年就开始加强软件安全举措，自上而下进行软件开发流程的改进。尤其到了2016年，中兴通讯成立了5G产品线，在默认安全（Secure by Default）的原则下，软件安全成为重中之重。中兴通讯采取积极主动的安全举措，包括采用新思科技（Synopsys）的Coverity静态应用安全测试、Defensics模糊测试、Black Duck软件组成分析以及软件安全构建成熟度模型（BSIMM）评估等。

新思科技软件质量与安全部门高级安全架构师杨国梁

软件安全构建成熟度模型（BSIMM）

新思科技软件质量与安全部门高级安全架构师杨国梁介绍说，BSIMM（Building Security In Maturity Model，软件安全构建成熟度模型）是一个观察、评估和描述企业的SSI真实状态的工具，这里的SSI（Software Security Initiative）就是软件安全方案的一个真实状态。BSIMM始于2008年，那时新思科技通过与几家全球知名的科技公司谈完之后，归纳出来一个原始框架——Software Security Framework软件安全框架。此后，新思科技每年会对这个框架进行更新，而更新的数据来源就是用当前框架对于一些新公司的评估结果。新思科技总共对200多家企业开展了大约500多次BSIMM的评估，而目前在BSIMM 11（去年10月份发布）的版本里面有130家公司的数据，为什么200家做了评估，而这个版本只有130家呢，是因为我们会对数据新鲜度做一个处理。杨国梁举例说，如果一个公司3、4年没有再做过新的 BSIMM评估，就会被从数据池中移除。BSIMM本身是一个观察性模型，只有被观察的数据足够有代表性，这个模型本身才足够有代表性，所以我们会把长期没有做评估的企业剔除掉，同时也会对模型本身做调整。他还透露，最新的BSIMM 12版本预计于今年10月或11月发布。

企业为什么要进行BSIMM评估呢？杨国梁回答说，通过BSIMM评估，企业高层可以很清楚地掌握自己目前软件安全方案处于一个什么样的状态，并且还可以了解市面上一些新的软件安全方法，知道他们开展的怎么样，做了哪些事情，这对于企业衡量目前的状态以及制定计划是非常有帮助的。也就是说，如果企业做了相应的BSIMM评估，那么就可以向下游客户呈现自己的评估结果，证明自己的软件生产过程是足够安全的，也可以要求上游供应商来做相应的BSIMM评估，让他们呈现提交供应给的产品是足够安全的。所以对于整个产业链、供应链来讲，BSIMM都是一个非常有帮助的工具。

杨国梁表示，BSIMM就是评估了数百家企业的安全状况之后，得出来的一个框架以及这些真实企业的一个数据的呈现。我们可以完整评估企业从生产到运维的过程中，在安全方面做的怎么样。通过BSIMM评估或者对这样的数据解读与分析，再对比企业自己的状况，能够给企业提供一些软件安全方面的参考和指导。杨国梁强调，BSIMM是一个免费开放的模型，任何企业都可以拿来进行自评，都可以对自己的安全状况有一个把握。

杨国梁认为BSIMM是目前惟一的观察性模型，当然市场上也有一些其他模型，它们是会很明确地列出来ABC、123，企业应该怎么做，达到什么等级，才能够获得几级的认证资质等。但是BSIMM不是这样，BSIMM是直接去评估，直接去访谈，访谈之后把企业真实的数据拿过来做一个呈现。BSIMM并不是一个指导性的告诉企业应该做什么，而是收集完数据之后，告诉企业大家都在做什么，让他们看大家在做的事情，对企业有没有借鉴意义。所以中兴通讯可能也是看到了这一点，觉得BSIMM本身是一个非常有活力，非常有代表性的安全模型，能够从中得到一些对自己有帮助的启发。

 

BSIMM不断完善中兴通讯HPPD

2017年，中兴通讯注意到BSIMM这样的模型，并且借鉴BSIMM模型里面的一些安全活动，逐渐完善自己的SSI软件安全计划，中兴通讯自己的研发流程叫HPPD（高性能可靠开发流程）。杨国梁说，中兴通讯把BSIMM里面的一些安全活动逐步的嵌入到了HPPD里面，而不是机械地把一个活动往里面加。他们会详细分析BSIMM的安全活动背后代表的是什么，为什么要开展安全活动，开展安全活动可能会有什么样的连带关系？中兴通讯做了这些详细分析之后，把BSIMM里面写出来的安全活动再融入到他们的HPPD流程中。所以到现在为止，我们给中兴通讯提供了两次BSIMM的评估服务，分别在2019年和2021年。

杨国梁介绍说，在2019年为中兴通讯做第一次评估时，我们对B8200和8120D两款5G平台设备做了BSIMM的评估，同时还进行了一个月的代码安全性评估和文档评估，提供了一些比较实用的改进建议。时隔一年多，到了2021年初，我们对5G RAN和5GC这两个产品线做了一次BSIMM评估，也在做一些增强方案或者改进方案建议。中兴通讯在安全培训、需求、设计、编码、测试、交付等方面，与2019年相比都有长足的进步，在此次BSIMM评估的过程中，能够明显地感觉到中兴通讯在大多数领域，尤其在安全方面花了很多的功夫，并得到了很好的成果。本次评估中兴通讯高分完成，在绝大多数领域其实是高于平均水平，总体上已经进入了第一梯队。通过评估，中兴通讯在安全能力的系统性里面得到很好的改进。

杨国梁表示，在两次评估，中兴通讯确实广泛采用了2019年评估的结果以及我们的建议，在2021年的评估中，我们看到了中兴通讯有大量的地方得到了提升与改进，并且进入了第一梯队，那么这对中兴通讯来讲就有一个很好的宣传的作用，对于其客户、本身以及上游供应商的要求，都是一个很好的宣传内容。杨国梁说，2021年的这次评估之后，中兴通讯也认识到了一些欠缺的点，与行业最顶尖厂商可能还是会有一些距离。所以我们也帮助中兴通讯制定了一些提升的方案，这对于将来中兴通讯继续维持第一梯队、甚至更进一步都有一些指导借鉴意义。

采取BSIMM评估有一个比较实际的好处，就是可以向下游的客户来证明自己的安全能力在什么样的一个位置，借此帮助企业证明自己是有能力应付这些安全挑战，并且交付给客户足够安全的产品。BSIMM更像是一个标尺，企业可以用它来测量自己目前的状态、业界同行业其他公司的平均状态。杨国梁还告诉记者，除了BSIMM之外，其实新思科技与中兴通讯的合作非常深入，甚至早于BSIMM，中兴通讯就已经采用了多款新思科技的安全工具，包括应用安全测试工具Coverity、模糊测试工具Defensics、软件组成分析工具Black Duck、交互式应用安全测试工具Seeker，这些工具在各自细分领域都是最顶尖的安全测试工具。