手机安全与我们息息相关,尤其手机支付基本已经代替了现金支付。因此,时下各大手机品牌在安方面做了很多投入,创新出了许多防护功能。那这些防护功能在业界处于什么位置,需要怎么改进?很多厂商也在寻求一把标尺,以明确软件安全计划的路径图。
科技为人
自成立以来,OPPO广东移动通信有限公司(以下简称OPPO)业务已遍布全球40多个国家和地区,其产品在全球已有超过3亿用户。自2019年以来,OPPO的研发投入已达100亿人民币,通过技术进一步推进设计。现在,OPPO多款手机产品搭载了网络安全态势感知、网络攻击识别算法等创新技术,具备网站检测、财产风险提示等安全功能,并且也开发了权限记录、隐私替身等保护隐私的功能。
OPPO对自身产品和业务的安全问题非常重视,采取多种举措以加强与业界个人、组织及公司密切合作,来提升整体安全水平,包括采用新思科技(Synopsys)的软件安全构建成熟度模型(BSIMM)评估等。
目标:对标行业优秀安全活动,构建整体可信工程
在数字时代,网络安全和数据安全至关重要,如果出现漏洞,会危及财产安全及个人隐私。与普通消费者最接近的无疑是智能手机中的一些应用软件隐患。
OPPO终端安全总监王安宇表示:“一直以来,OPPO关注用户的信息泄露焦虑和隐私保护诉求。在当前形势下, OPPO将持续加强安全隐私领域的技术积累,不断更新和升级用户的隐私安全体验,结合智能和互联场景,逐步构建在安全隐私方面的品牌竞争力,在用户心中建立可信赖的品牌形象,为企业健康长久发展提供坚实保障。为此,我们采用新思科技(Synopsys)的软件安全构建成熟度模型(BSIMM)评估测评软件安全能力在业界的行业水平。”
OPPO公司软件工程系统安全工程部自成立以来,就致力于安全工程能力建设,提升企业软件安全能力。业务部门为了确保交付安全的终端产品,在产品开发过程的每一个环节都需重视安全与隐私保护,并且随着OPPO产品系列增加和全球影响力扩大,OPPO对软件开发过程中的安全与隐私保护愈发重视。为此,安全部门引入Microsoft SDL、新思科技 BSIMM等业界优秀实践,对软件开发全流程进行安全合规管理,并不断优化,助力业务发展。
王安宇说:“OPPO希望通过安全合规机制支撑公司业务发展主方向,保障业务合规交付,软件安全开发流程IT化。在产品规划和研发阶段就开始保护客户和产品的安全隐私,降低风险和成本,最终构建OPPO的整体可信工程。同时,我们需要一把标尺,衡量我们安全计划的进度以及OPPO软件安全能力在业界的水平,以有方向地提升安全。”
新思科技为OPPO进行软件安全构建成熟度模型(BSIMM)评估
新思科技连续五年被评为Gartner应用安全测试魔力象限领导者,有卓越的前瞻性和执行力,可以帮助OPPO对标行业优秀实践活动,以确定目前OPPO的成熟度水平及软件安全计划如何提升。2020年,OPPO开始采用BSIMM,在深圳、东莞、成都、上海、南京等城市面向软件工程系统进行整体评估,覆盖软件工程主要业务。
自2008年起,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度BSIMM报告,帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM是企业衡量软件安全的标尺,OPPO可以参考并对比业界优秀的实践活动,以便更加有针对性地改善自身软件安全成熟度。
聚焦OPPO软件工程系统相关业务架构,新思科技前期准备访谈大纲,并进行了为期两周的现场/远程专家访谈,在会后出具软件安全成熟度评估报告,且提供有效的改进及优化建议。
客观分析现有的SSI
剖析不同行业垂直领域出色的安全实践
基于公司目前的安全现状,分享其它相关类型公司成功和失败的案例,并介绍业界应对安全问题的新举措
新思科技软件质量与安全部门高级安全架构师杨国梁介绍道:“通过这些访谈,我们了解到OPPO对其SSI的当前运作方式及未来目标运作方式的想法。BSIMM主要是衡量软件安全的标尺,将OPPO的安全方案与其他公司正在开展的安全工作进行比较。BSIMM也可用作SSI路线图,OPPO可以确定自己的目标和行为,然后参考BSIMM来确定哪些额外活动对公司有意义,从而有规划地改善SSI。”
借助BSIMM,OPPO制定了SSI增强方案,持续优化软件安全实践。根据OPPO软件工程系统安全研发现状的调研,系统化的分析现状,形成分析报告并制定安全能力提升路线和具体落地步骤,通过SDL流程完善现有软件安全能力,建立安全可信的产品体系,最终构建OPPO的整体可信工程。
成果:软件开发安全体系得到明显提升
新思科技对OPPO安全工程部以及软件工程系统其它业务部门的软件安全活动信息进行了整体评估。对标外部公司,新思科技公正客观地分析软件开发安全体系所处的行业水平。从近两年BSIMM评估结果来看,OPPO软件开发安全体系在很多领域得到了较明显的提升。另外,基于OPPO目前的安全现状,并借助BSIMM评估结果,帮助OPPO制定了有效的SSI提升方案。
王安宇称赞道:“在两年的评估过程中,新思科技团队专家和成员都展现了很强的专业能力,对OPPO软工系统软件安全现状的评估很切合实际,并提出了提升OPPO安全能力有效的建议。OPPO也希望与新思科技有更进一步的合作,来提升整个企业软件安全开发生命周期的安全合规能力。”
新思科技资深安全专家王永雷总结道:“结合OPPO公司软件工程系统安全工程部成立时间等综合因素,OPPO的评估成果已经是业界比较高的水平。面对数字化时代中的安全问题,手机厂商以及运营商都需要加强可靠性和安全性,推动终端安全领域技术的创新。在产品设计之初就内置安全是最具成本效益的一种方式。新思科技将继续为软件工程系统提供安全支持,助力OPPO构建整体可信工程。”