ICCSZ訊 截至2018年第一季度,華為軟件安全能力成熟度完成了多輪BSIMM評(píng)估,在十二項(xiàng)最佳實(shí)踐模塊中有九項(xiàng)表現(xiàn)出色;在第三級(jí)活動(dòng)中獲得評(píng)分,這一級(jí)別活動(dòng)最不常見(jiàn)。華為在BSIMM數(shù)據(jù)庫(kù)里的100多家ICT企業(yè)中排名前列。作為ICT領(lǐng)域的領(lǐng)導(dǎo)廠商,這標(biāo)志著華為在軟件安全流程和工程能力領(lǐng)域已達(dá)到了國(guó)際水平。
BSIMM(The Building Security In Maturity Model)是由美國(guó)Cigital公司(已被Synopsys收購(gòu))發(fā)起的一個(gè)軟件安全研究項(xiàng)目,2008年發(fā)布了第一個(gè)版本。其通過(guò)對(duì)大量企業(yè)進(jìn)行評(píng)估得出的統(tǒng)計(jì)數(shù)據(jù),進(jìn)行分類歸納,形成業(yè)界優(yōu)秀的軟件安全評(píng)估模型。截至目前,BSIMM模型已在全球超過(guò)100家公司得到應(yīng)用,覆蓋多個(gè)縱向領(lǐng)域,包括金融服務(wù)、獨(dú)立軟件供應(yīng)商、技術(shù)公司、云、媒體、安全、通信以及互聯(lián)網(wǎng)運(yùn)營(yíng)商等,包括微軟、Nokia、Oracle等世界頂級(jí)軟件公司。
從2013年開始,華為就與Cigital公司開展了BSIMM評(píng)估,每年抽取產(chǎn)品進(jìn)行安全能力評(píng)估,包括安全策略制定、安全培訓(xùn)、安全架構(gòu)設(shè)計(jì)、安全測(cè)試等。通過(guò)連續(xù)五年的評(píng)估和持續(xù)改進(jìn),華為軟件安全能力成熟度得到了極大地提升。
Cigital評(píng)估顧問(wèn)在本次測(cè)評(píng)的總結(jié)中提到:“華為在軟件安全方面做得比較好,而且是持續(xù)性的進(jìn)步。建立好的安全工程能力,需要有人、工具、流程的共同配合,華為在這三方面都有很好的表現(xiàn)?!?
華為首席安全架構(gòu)師付天福認(rèn)為:“從BSIMM的安全活動(dòng)數(shù)據(jù)演變中可以發(fā)現(xiàn),無(wú)論是加入軟件評(píng)估的企業(yè)數(shù)目,還是各企業(yè)內(nèi)專業(yè)從事軟件安全的人員比例,都呈現(xiàn)逐年上升的趨勢(shì)。這說(shuō)明網(wǎng)絡(luò)安全在產(chǎn)品開發(fā)過(guò)程中受到越來(lái)越多的重視。自動(dòng)化、工具化將會(huì)成為軟件安全的基本保障措施,從而將安全人員從重復(fù)繁瑣的工作中解脫出來(lái),專注更有創(chuàng)造性的安全活動(dòng)?!?