新思科技助力OPPO構(gòu)建整體可信工程

開展BSIMM軟件安全評估， 為軟件工程系統(tǒng)提供支持

現(xiàn)在智能手機(jī)廠商除了提供豐富的功能，同時在安全方面也在加大投資，以獲得更大的市場競爭力。

科技為人

自成立以來，OPPO廣東移動通信有限公司（以下簡稱OPPO）業(yè)務(wù)已遍布全球40多個國家和地區(qū)，其產(chǎn)品在全球已有超過3億用戶。自2019年以來，OPPO的研發(fā)投入已達(dá)100億人民幣，通過技術(shù)進(jìn)一步推進(jìn)設(shè)計�，F(xiàn)在，OPPO多款手機(jī)產(chǎn)品搭載了網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)攻擊識別算法等創(chuàng)新技術(shù)，具備網(wǎng)站檢測、財產(chǎn)風(fēng)險提示等安全功能，并且也開發(fā)了權(quán)限記錄、隱私替身等保護(hù)隱私的功能。

OPPO對自身產(chǎn)品和業(yè)務(wù)的安全問題非常重視，采取多種舉措以加強(qiáng)與業(yè)界個人、組織及公司密切合作，來提升整體安全水平，包括采用新思科技(Synopsys)的軟件安全構(gòu)建成熟度模型(BSIMM)評估等。

目標(biāo)：對標(biāo)行業(yè)優(yōu)秀安全活動，構(gòu)建整體可信工程

在數(shù)字時代，網(wǎng)絡(luò)安全和數(shù)據(jù)安全至關(guān)重要，如果出現(xiàn)漏洞，會危及財產(chǎn)安全及個人隱私。與普通消費者最接近的無疑是智能手機(jī)中的一些應(yīng)用軟件隱患。

OPPO終端安全總監(jiān)王安宇表示：“一直以來，OPPO關(guān)注用戶的信息泄露焦慮和隱私保護(hù)訴求。在當(dāng)前形勢下， OPPO將持續(xù)加強(qiáng)安全隱私領(lǐng)域的技術(shù)積累，不斷更新和升級用戶的隱私安全體驗，結(jié)合智能和互聯(lián)場景，逐步構(gòu)建在安全隱私方面的品牌競爭力，在用戶心中建立可信賴的品牌形象，為企業(yè)健康長久發(fā)展提供堅實保障。為此，我們采用新思科技(Synopsys)的軟件安全構(gòu)建成熟度模型(BSIMM)評估測評軟件安全能力在業(yè)界的行業(yè)水平�！�

OPPO公司軟件工程系統(tǒng)安全工程部自成立以來，就致力于安全工程能力建設(shè)，提升企業(yè)軟件安全能力。業(yè)務(wù)部門為了確保交付安全的終端產(chǎn)品，在產(chǎn)品開發(fā)過程的每一個環(huán)節(jié)都需重視安全與隱私保護(hù)，并且隨著OPPO產(chǎn)品系列增加和全球影響力擴(kuò)大，OPPO對軟件開發(fā)過程中的安全與隱私保護(hù)愈發(fā)重視。為此，安全部門引入Microsoft SDL、新思科技 BSIMM等業(yè)界優(yōu)秀實踐，對軟件開發(fā)全流程進(jìn)行安全合規(guī)管理，并不斷優(yōu)化，助力業(yè)務(wù)發(fā)展。

王安宇指出：“OPPO希望通過安全合規(guī)機(jī)制支撐公司業(yè)務(wù)發(fā)展主方向，保障業(yè)務(wù)合規(guī)交付，軟件安全開發(fā)流程IT化。在產(chǎn)品規(guī)劃和研發(fā)階段就開始保護(hù)客戶和產(chǎn)品的安全隱私，降低風(fēng)險和成本，最終構(gòu)建OPPO的整體可信工程。同時，我們需要一把標(biāo)尺，衡量我們安全計劃的進(jìn)度以及OPPO軟件安全能力在業(yè)界的水平，以有方向地提升安全�！�

新思科技為OPPO進(jìn)行軟件安全構(gòu)建成熟度模型(BSIMM)評估

新思科技連續(xù)五年被評為Gartner應(yīng)用安全測試魔力象限領(lǐng)導(dǎo)者，有卓越的前瞻性和執(zhí)行力，可以幫助OPPO對標(biāo)行業(yè)優(yōu)秀實踐活動，以確定目前OPPO的成熟度水平及軟件安全計劃如何提升。2020年，OPPO開始采用BSIMM，在深圳、東莞、成都、上海、南京等城市面向軟件工程系統(tǒng)進(jìn)行整體評估，覆蓋軟件工程主要業(yè)務(wù)。

自2008年起，新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報告，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標(biāo)尺，OPPO可以參考并對比業(yè)界優(yōu)秀的實踐活動，以便更加有針對性地改善自身軟件安全成熟度。

聚焦OPPO軟件工程系統(tǒng)相關(guān)業(yè)務(wù)架構(gòu)，新思科技前期準(zhǔn)備訪談大綱，并進(jìn)行了為期兩周的現(xiàn)場/遠(yuǎn)程專家訪談，在會后出具軟件安全成熟度評估報告，且提供有效的改進(jìn)及優(yōu)化建議。

 客觀分析現(xiàn)有的SSI

 剖析不同行業(yè)垂直領(lǐng)域出色的安全實踐

基于公司目前的安全現(xiàn)狀，分享其它相關(guān)類型公司成功和失敗的案例，并介紹業(yè)界應(yīng)對安全問題的新舉措

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹道：“通過這些訪談，我們了解到OPPO對其SSI的當(dāng)前運作方式及未來目標(biāo)運作方式的想法。BSIMM主要是衡量軟件安全的標(biāo)尺，將OPPO的安全方案與其他公司正在開展的安全工作進(jìn)行比較。BSIMM也可用作SSI路線圖，OPPO可以確定自己的目標(biāo)和行為，然后參考BSIMM來確定哪些額外活動對公司有意義，從而有規(guī)劃地改善SSI。”

借助BSIMM，OPPO制定了SSI增強(qiáng)方案，持續(xù)優(yōu)化軟件安全實踐。根據(jù)OPPO軟件工程系統(tǒng)安全研發(fā)現(xiàn)狀的調(diào)研，系統(tǒng)化的分析現(xiàn)狀，形成分析報告并制定安全能力提升路線和具體落地步驟，通過SDL流程完善現(xiàn)有軟件安全能力，建立安全可信的產(chǎn)品體系，最終構(gòu)建OPPO的整體可信工程。

成果：軟件開發(fā)安全體系得到明顯提升

新思科技對OPPO安全工程部以及軟件工程系統(tǒng)其它業(yè)務(wù)部門的軟件安全活動信息進(jìn)行了整體評估。對標(biāo)外部公司，新思科技公正客觀地分析軟件開發(fā)安全體系所處的行業(yè)水平。從近兩年BSIMM評估結(jié)果來看，OPPO軟件開發(fā)安全體系在很多領(lǐng)域得到了較明顯的提升。另外，基于OPPO目前的安全現(xiàn)狀，并借助BSIMM評估結(jié)果，幫助OPPO制定了有效的SSI提升方案。

王安宇稱贊道：“在兩年的評估過程中，新思科技團(tuán)隊專家和成員都展現(xiàn)了很強(qiáng)的專業(yè)能力，對OPPO軟工系統(tǒng)軟件安全現(xiàn)狀的評估很切合實際，并提出了提升OPPO安全能力有效的建議。OPPO也希望與新思科技有更進(jìn)一步的合作，來提升整個企業(yè)軟件安全開發(fā)生命周期的安全合規(guī)能力�！�

新思科技資深安全專家王永雷總結(jié)道：“結(jié)合OPPO公司軟件工程系統(tǒng)安全工程部成立時間等綜合因素，OPPO的評估成果已經(jīng)是業(yè)界比較高的水平。面對數(shù)字化時代中的安全問題，手機(jī)廠商以及運營商都需要加強(qiáng)可靠性和安全性，推動終端安全領(lǐng)域技術(shù)的創(chuàng)新。在產(chǎn)品設(shè)計之初就內(nèi)置安全是最具成本效益的一種方式。新思科技將繼續(xù)為軟件工程系統(tǒng)提供安全支持，助力OPPO構(gòu)建整體可信工程�！�