网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

通信世界网消息（CWW）软件安全检测在IT软件的生命周期中，特别是在产品开发完成到发布阶段，一方面可以帮助软件企业在发布之前找到安全问题予以修补，从而降低软件企业的运营成本。另一方面可以有效的验证安装在系统的保护机制能否在实际应用中对系统进行保护，不被非法入侵及不受各种因素干扰。软件安全检测对于软件企业来讲，可以说是构建软件大厦的基本安全基石。

但是面对软件安全检测，许多企业只是闭门造车，形成一座座孤岛，软件企业想要在软件安全检测中形成自己成熟的模式，这一过程会受各种因素的干扰，很难独立的构建起软件安全检测体系。

新思科技软件质量与安全部门提供一个测量和评估软件安全计划(SSI)的工具 —— BSIMM。BSIMM构建了一种合作的生态体系，可以帮助想要开展安全活动的厂商彼此间进行交流、学习、共生，为这些企业的软件安全构建提供指导，从而让这些企业不断完善自己，从而获得更多的价值。

据悉，著名科技企业华为，就是新思科技的用户。经过五年BSIMM评估，华为整个软件开发生命周期（SDLC）的安全成熟得到提高。根据最新的BSIMM评估，在BSIMM框架实践中，华为超过了全球行业平均标准。例如，华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。

那么，BSIMM到底能给中国企业带来什么价值？具备怎么样的优势？就此，通信世界全媒体记者采访了新思科技软件质量与安全部门高级安全架构师杨国梁、新思科技软件质量与安全部门管理顾问Olli Jarva以及华为网络安全与用户隐私业务管理部安全设计主管杨光磊。

新思科技为软件安全检测带来机遇

正如新思科技软件质量与安全部门高级安全架构师杨国梁介绍的那样，新思科技从2014年开始进入软件安全领域，成立了新思科技软件质量与安全部门，先后收购了Coverity、Codenomicon、Cigital和Black Duck等一些业界领先的公司，这一部门在世界许多地方都有研发分部，包括美国、以色列、澳大利亚、加拿大、芬兰等，在中国有武汉研发中心，负责支撑不同的产品及咨询业务的开展。

新思科技软件质量与安全部门高级安全架构师杨国梁

在软件安全检测行业中比较成熟的OpenSAMM、微软SDL，他们提供的是指导性的模型，其中最大的特点是它已经约定好了模型的架构，作为软件企业只需要按照这个模型去做，保证开发的软件符合这一模块要求。

但是新思科技软件质量与安全部门管理顾问Olli Jarva提到，BSIMM与之前的软件安全检测有很大的区别，BSIMM不会告诉你如何往下做，而是描述了你正在做哪些事情，或者已经做了哪些事情。从一个现实的角度来说，软件企业在做SDLC开发生命周期的时候，会遵循比如微软的SDL或者OpenSAMM，在之后，这些软件企业会用BSIMM评估开展的怎么样，做的好不好，哪点还缺失，或者哪点做的比较好。BSIMM可以用来评估各种各样不同的指导性的模型。

新思科技软件质量与安全部门管理顾问Olli Jarva

BSIMM与软件企业的单打独斗不同，它成立了一个类似社区生态，把大家都聚在一起，大家互相学习，在做完评估之后，企业可以看到友商或者说竞争对手，他们在安全实践上面做了些什么，也可以让企业看到一些与自身不太相关的行业是如何在安全实践上进行业务开展，可以让这些企业相关交流、相互学习。Olli Jarva还介绍到，新思科技构建了交流环境之后，BSIMM本身对于一些新的趋势或者是技术的获取非常敏锐，

华为网络安全与用户隐私业务管理部安全设计主管杨光磊也表示，华为在ICT领域是一个领导厂商，华为致力于把数字世界带给每个人，每个家庭以及每个组织。在这个连接的基础上，更希望能够给大家带来的是安全的连接。

华为与新思科技的合作是从2013年开始，在此之前，华为已经在研发过程中引入了很多安全的活动，但是安全活动执行的效果怎么样，和同行业相比做到什么样的程度，其实华为并不是很清楚，但是与新思科技合作后，对华为的产品进行了评估，让华为发现其中很多当时相比业界来说还有一些差距的地方，针对这些差距，华为制定了具体的改进措施，让华为的产品持续不断的得到改进，现在每年华为都会邀请新思科技给华为做评估，帮助自己不断进行改进。

新思科技软件安全检测优势何在？