新思科技为中兴通讯提供BSIMM软件安全评估及测试工具

发布时间:2021-05-14  

从中国走向全球

 

 

从中国走向全球

 

 

广告

 

 

中兴通讯股份有限公司(以下简称中兴通讯)是一家综合通信信息解决方案提供商,为全球电信运营商、政企客户和消费者提供创新的技术与产品解决方案。公司成立于1985年,在香港和深圳两地上市,业务覆盖160多个国家和地区。中兴通讯是全球5G规模商用设备商,同时也是5G技术研究和标准制定的主要参与者和贡献者,致力于构建5G时代自主创新核心竞争力,并凭借5G端到端全系列产品与解决方案,加速推进全球5G发展,目前已在全球40多个国家开展5G商用部署。

 

安全对于任何构建和使用软件的企业和个人来说都至关重要, 中兴通讯采取积极主动的安全举措,包括采用新思科技(Synopsys)的Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析以及软件安全构建成熟度模型(BSIMM)评估等。

 

目标:产品安全研发和交付能力进入业界第一梯队

 

5G是新一代信息基础设施之一,不仅是国家经济高质量发展的重要引擎,也和普通大众息息相关。5G可以将当下很多前沿技术结合起来,包括云计算、大数据、人工智能等等,在高度连接的时代,安全挑战难度也在增加。在5G时代,联网设备越来越多,也越来越复杂,软件漏洞的数量也会随之增加。一旦关键设备被攻击,可能会牵连数以万计的联网设备,后果不堪设想。

 

2011年起,中兴通讯就开始加强软件安全举措,自上而下进行软件开发流程的改进。尤其到了2016年,中兴通讯成立了5G产品线,在默认安全(Secure by Default)的原则下,软件安全成为重中之重。

 

中兴通讯无线经营部产品安全总监杨铁建指出,中兴通讯将产品安全视为产品研发和交付第一优先级。为满足日新月异的市场需求,产品开发人员需快速进行产品开发,但是中兴通讯不会牺牲安全来换取交付速度。我们引入业界安全治理框架、最佳实践,融入公司HPPD流程中,并进行持续改进,提升整体软件开发安全成熟度,从流程、制度上保障交付的产品和服务的安全性。

 

 

 

 

 

同时,杨铁建也表示:“我们采用了大量先进的安全产品、技术和方法,同时我们也以更开放的心态,希望与业界加强沟通,了解自己在行业中所处的位置,并不断识别差距和改进点。中兴通讯无线经营部希望寻求一种系统的安全评估方案,以判断我们的5G产品安全研发和交付能力是否已经进入业界第一梯队,力证公司有实力帮助客户应对网络安全挑战。”

 

新思科技为中兴通讯进行软件安全构建成熟度模型(BSIMM)评估

新思科技已经连续多年在 Gartner 魔力象限应用安全测试中被评为领导者,中兴通讯对新思科技的能力和专业十分认可,并部署过Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析等安全工具。2017年,中兴通讯开始借鉴BSIMM模型逐步完善软件安全计划,将BSIMM定义的软件安全活动嵌入到HPPD研发流程中。无线经营部又进一步采用BSIMM,在南京、上海、西安、深圳和海外局点开展安全性评估,覆盖无线主要网络产品。

自2008年起,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度BSIMM报告,帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM是企业衡量软件安全的标尺,中兴通讯可以参考对比业界优秀的实践活动,以便更加有针对性地改善自身软件安全成熟度。

 

目前为止,新思科技已经为中兴通讯提供了2次BSIMM评估服务:

 

客观分析现有的SSI

 

剖析不同行业垂直领域出色的安全实践

基于公司目前的安全现状,分享其它有关公司成功和失败的案例,并介绍业界应对安全问题的新举措

2019年,新思科技对中兴通讯B8200和8120D两款5G平台设备进行了评估,包括为期一个月的代码安全性评估、一周的安全设计文档评估及三天的BSIMM访谈。访谈期间对与软件安全相关的主要负责人进行三轮访谈和多轮沟通会议。评估报告中总结了中兴通讯产品安全状态、业界位置,并根据实际情况提供了实用的改进建议。

 

2021年,新思科技为中兴通讯无线经营部5G RAN(包括BBU、AAU/RRU和统一管理专家UME)和5GC(包括核心网、5G编排管理、5G云)等产品的研发过程进行为期三天的评估,之后详细解读评估报告,并和2019年两款产品的评估结果进行比较,更新改进建议。中兴通讯此次高分完成评估,在绝大多数领域远超平均分,总体上达到业界领先的水平。对比19年的评估结果,可以看出中兴通讯在软件安全管控上取得了长足的进步。

 

新思科技软件质量与安全部门高级安全架构师杨国梁介绍道:“这些采访中涉及的主题与BSIMM软件安全框架中的121项活动一致,如软件安全政策、供应商管理和风险评级等等。评估结果在报告中呈现。BSIMM记分卡提供了精准、简练的概况和详细的分数比较,概述了中兴通讯与同类公司执行的安全方案之间的对比。”

 

借助BSIMM,中兴通讯制定了SSI增强方案,持续优化软件安全实践。

 

成果:安全能力系统性地改进

 

经过三年多对标BSIMM框架以及BSIMM评估,中兴通讯无线经营部项目安全能力得到系统性的改进,在安全培训、需求、设计、编码、测试、交付领域都得到了提升。

杨铁建表示:“全面进入5G市场面临许多挑战,其中,安全性和数据保护尤为重要。新思科技评估团队专业、敬业,对我们的需求能够快速精准地响应。BSIMM评估模型的评估方式与评估条目紧贴行业和市场的新动向和新标准,不断迭代升级,这与中兴通讯加速推进全球5G商用规模部署的战略不谋而合。与新思科技的合作,是中兴通讯致力于为全球客户提供安全、可靠的5G全系列产品与解决方案的良好实践。”

 

杨国梁总结道:“发展5G为整个产业链带来巨大的机遇,同时,业界也特别强调5G网络建设的安全保障。5G 安全需要考虑多个层面,比如5G 网络本身的通信安全以及 5G 网络承载的上层应用安全。但总的来说,通信设备提供商应该在产品设计之初,就必须充分考虑可靠性和安全性。新思科技会继续为中兴通讯提供测试工具和评估服务等,为构建5G时代自主创新核心竞争力提供持续的安全支持。”

责编:Amy  Guan

 

 

 

 

 

 

中兴通讯股份有限公司(以下简称中兴通讯)是一家综合通信信息解决方案提供商,为全球电信运营商、政企客户和消费者提供创新的技术与产品解决方案。公司成立于1985年,在香港和深圳两地上市,业务覆盖160多个国家和地区。中兴通讯是全球5G规模商用设备商,同时也是5G技术研究和标准制定的主要参与者和贡献者,致力于构建5G时代自主创新核心竞争力,并凭借5G端到端全系列产品与解决方案,加速推进全球5G发展,目前已在全球40多个国家开展5G商用部署。

 

安全对于任何构建和使用软件的企业和个人来说都至关重要, 中兴通讯采取积极主动的安全举措,包括采用新思科技(Synopsys)的Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析以及软件安全构建成熟度模型(BSIMM)评估等。

 

目标:产品安全研发和交付能力进入业界第一梯队

 

5G是新一代信息基础设施之一,不仅是国家经济高质量发展的重要引擎,也和普通大众息息相关。5G可以将当下很多前沿技术结合起来,包括云计算、大数据、人工智能等等,在高度连接的时代,安全挑战难度也在增加。在5G时代,联网设备越来越多,也越来越复杂,软件漏洞的数量也会随之增加。一旦关键设备被攻击,可能会牵连数以万计的联网设备,后果不堪设想。

 

2011年起,中兴通讯就开始加强软件安全举措,自上而下进行软件开发流程的改进。尤其到了2016年,中兴通讯成立了5G产品线,在默认安全(Secure by Default)的原则下,软件安全成为重中之重。

 

中兴通讯无线经营部产品安全总监杨铁建指出,中兴通讯将产品安全视为产品研发和交付第一优先级。为满足日新月异的市场需求,产品开发人员需快速进行产品开发,但是中兴通讯不会牺牲安全来换取交付速度。我们引入业界安全治理框架、最佳实践,融入公司HPPD流程中,并进行持续改进,提升整体软件开发安全成熟度,从流程、制度上保障交付的产品和服务的安全性。

 

 

 

 

 

同时,杨铁建也表示:“我们采用了大量先进的安全产品、技术和方法,同时我们也以更开放的心态,希望与业界加强沟通,了解自己在行业中所处的位置,并不断识别差距和改进点。中兴通讯无线经营部希望寻求一种系统的安全评估方案,以判断我们的5G产品安全研发和交付能力是否已经进入业界第一梯队,力证公司有实力帮助客户应对网络安全挑战。”

 

新思科技为中兴通讯进行软件安全构建成熟度模型(BSIMM)评估

新思科技已经连续多年在 Gartner 魔力象限应用安全测试中被评为领导者,中兴通讯对新思科技的能力和专业十分认可,并部署过Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析等安全工具。2017年,中兴通讯开始借鉴BSIMM模型逐步完善软件安全计划,将BSIMM定义的软件安全活动嵌入到HPPD研发流程中。无线经营部又进一步采用BSIMM,在南京、上海、西安、深圳和海外局点开展安全性评估,覆盖无线主要网络产品。

自2008年起,新思科技每年都会分析不同企业的实际软件安全实践的定量数据,并汇总成为年度BSIMM报告,帮助企业规划、执行、评估和完善其软件安全计划(SSI)。BSIMM是企业衡量软件安全的标尺,中兴通讯可以参考对比业界优秀的实践活动,以便更加有针对性地改善自身软件安全成熟度。

 

目前为止,新思科技已经为中兴通讯提供了2次BSIMM评估服务:

 

客观分析现有的SSI

 

剖析不同行业垂直领域出色的安全实践

基于公司目前的安全现状,分享其它有关公司成功和失败的案例,并介绍业界应对安全问题的新举措

2019年,新思科技对中兴通讯B8200和8120D两款5G平台设备进行了评估,包括为期一个月的代码安全性评估、一周的安全设计文档评估及三天的BSIMM访谈。访谈期间对与软件安全相关的主要负责人进行三轮访谈和多轮沟通会议。评估报告中总结了中兴通讯产品安全状态、业界位置,并根据实际情况提供了实用的改进建议。

 

2021年,新思科技为中兴通讯无线经营部5G RAN(包括BBU、AAU/RRU和统一管理专家UME)和5GC(包括核心网、5G编排管理、5G云)等产品的研发过程进行为期三天的评估,之后详细解读评估报告,并和2019年两款产品的评估结果进行比较,更新改进建议。中兴通讯此次高分完成评估,在绝大多数领域远超平均分,总体上达到业界领先的水平。对比19年的评估结果,可以看出中兴通讯在软件安全管控上取得了长足的进步。

 

新思科技软件质量与安全部门高级安全架构师杨国梁介绍道:“这些采访中涉及的主题与BSIMM软件安全框架中的121项活动一致,如软件安全政策、供应商管理和风险评级等等。评估结果在报告中呈现。BSIMM记分卡提供了精准、简练的概况和详细的分数比较,概述了中兴通讯与同类公司执行的安全方案之间的对比。”

 

借助BSIMM,中兴通讯制定了SSI增强方案,持续优化软件安全实践。

 

成果:安全能力系统性地改进

 

经过三年多对标BSIMM框架以及BSIMM评估,中兴通讯无线经营部项目安全能力得到系统性的改进,在安全培训、需求、设计、编码、测试、交付领域都得到了提升。

杨铁建表示:“全面进入5G市场面临许多挑战,其中,安全性和数据保护尤为重要。新思科技评估团队专业、敬业,对我们的需求能够快速精准地响应。BSIMM评估模型的评估方式与评估条目紧贴行业和市场的新动向和新标准,不断迭代升级,这与中兴通讯加速推进全球5G商用规模部署的战略不谋而合。与新思科技的合作,是中兴通讯致力于为全球客户提供安全、可靠的5G全系列产品与解决方案的良好实践。”

 

杨国梁总结道:“发展5G为整个产业链带来巨大的机遇,同时,业界也特别强调5G网络建设的安全保障。5G 安全需要考虑多个层面,比如5G 网络本身的通信安全以及 5G 网络承载的上层应用安全。但总的来说,通信设备提供商应该在产品设计之初,就必须充分考虑可靠性和安全性。新思科技会继续为中兴通讯提供测试工具和评估服务等,为构建5G时代自主创新核心竞争力提供持续的安全支持。”

责编:Amy  Guan

 

 

 

 

文章来源于:电子工程专辑    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    的就涉及上海分公司及部分研发中心,裁员是因为上海部门涉及的产品线要被淘汰,不只是中国,美国亚特兰大地区也全部裁员了。 这一消息出街后,瞬间在网上引发热议。 据公开资料显示,思科Cisco)是全......
    Inc.(思科系统)生产集成连接器模块(ICMs)。 该工厂是Pulse在印度的首家能够生产ICM的工厂,这有赖于同Cisco供应链和工程团队的多年合作和创新关系,从而成功实现了新制造工厂所需的建设、资格......
    金级供应商,这一成就代表理光在提供最先进的 SD-WAN 托管服务和 Cisco Meraki 解决方案的承诺和专业知识。我们很高兴能够深化与思科的合作,并继......
    服务和 Cisco Meraki 解决方案的承诺和专业知识。我们很高兴能够深化与思科的合作,并继续为亚太地区的中小企业客户提供支援。” 为了获得金级供应商并为该地区的中小企业和其他客户提供支援,理光......
    有足够的实力与网络设备龙头思科系统(Cisco)相抗衡。 此外,在截至 7 月 30 日结束的2016年第 2 季财报中,Brocade 的营收较 2015 年同期成长 7%,金额由 5.23 亿美......
    思科与NTT合作,为企业客户带来专用5G以加速行业转型;全球技术领导者思科(Cisco)与领先的IT基础设施和服务公司NTT Ltd.公布了合作计划,以推动汽车、物流、医疗保健、零售......
    思科与NTT合作,为企业客户带来专用5G以加速行业转型;全球技术领导者思科(Cisco)与领先的IT基础设施和服务公司NTT Ltd.公布了合作计划,以推动汽车、物流、医疗保健、零售......
    Burns、Roderick C. McGeary 和 Lisa T. Su 博士分别通知 Cisco Systems 公司,他们各自决定不在思科 2023 年年度股东大会上竞选,Burns 女士......
    网络等各方面的核心优势。据了解,Brocade 收购了 Ruckus 之后,将使得 Brocade 有足够的实力与网络设备龙头思科系统(Cisco)相抗衡。 而在收购消息公布之后,Brocade 在 2 日的......
    思科将启动今年第二轮裁员;路透社日前引述知情人士透露的消息称,美国网通巨头思科(Cisco)即将在今年来第二轮裁员中裁减数千个工作岗位。 该人士称,思科预计将于8月14日发布2024会计......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>