新思科技助力OPPO構建整體可信工程

開展BSIMM軟件安全評估， 為軟件工程系統(tǒng)提供支持

現(xiàn)在智能手機廠商除了提供豐富的功能，同時在安全方面也在加大投資，以獲得更大的市場競爭力。

科技為人

自成立以來，OPPO廣東移動通信有限公司（以下簡稱OPPO）業(yè)務已遍布全球40多個國家和地區(qū)，其產品在全球已有超過3億用戶。自2019年以來，OPPO的研發(fā)投入已達100億人民幣，通過技術進一步推進設計�，F(xiàn)在，OPPO多款手機產品搭載了網(wǎng)絡安全態(tài)勢感知、網(wǎng)絡攻擊識別算法等創(chuàng)新技術，具備網(wǎng)站檢測、財產風險提示等安全功能，并且也開發(fā)了權限記錄、隱私替身等保護隱私的功能。

OPPO對自身產品和業(yè)務的安全問題非常重視，采取多種舉措以加強與業(yè)界個人、組織及公司密切合作，來提升整體安全水平，包括采用新思科技(Synopsys)的軟件安全構建成熟度模型(BSIMM)評估等。

目標：對標行業(yè)優(yōu)秀安全活動，構建整體可信工程

在數(shù)字時代，網(wǎng)絡安全和數(shù)據(jù)安全至關重要，如果出現(xiàn)漏洞，會危及財產安全及個人隱私。與普通消費者最接近的無疑是智能手機中的一些應用軟件隱患。

OPPO終端安全總監(jiān)王安宇表示：“一直以來，OPPO關注用戶的信息泄露焦慮和隱私保護訴求。在當前形勢下， OPPO將持續(xù)加強安全隱私領域的技術積累，不斷更新和升級用戶的隱私安全體驗，結合智能和互聯(lián)場景，逐步構建在安全隱私方面的品牌競爭力，在用戶心中建立可信賴的品牌形象，為企業(yè)健康長久發(fā)展提供堅實保障。為此，我們采用新思科技(Synopsys)的軟件安全構建成熟度模型(BSIMM)評估測評軟件安全能力在業(yè)界的行業(yè)水平�！�

OPPO公司軟件工程系統(tǒng)安全工程部自成立以來，就致力于安全工程能力建設，提升企業(yè)軟件安全能力。業(yè)務部門為了確保交付安全的終端產品，在產品開發(fā)過程的每一個環(huán)節(jié)都需重視安全與隱私保護，并且隨著OPPO產品系列增加和全球影響力擴大，OPPO對軟件開發(fā)過程中的安全與隱私保護愈發(fā)重視。為此，安全部門引入Microsoft SDL、新思科技 BSIMM等業(yè)界優(yōu)秀實踐，對軟件開發(fā)全流程進行安全合規(guī)管理，并不斷優(yōu)化，助力業(yè)務發(fā)展。

王安宇指出：“OPPO希望通過安全合規(guī)機制支撐公司業(yè)務發(fā)展主方向，保障業(yè)務合規(guī)交付，軟件安全開發(fā)流程IT化。在產品規(guī)劃和研發(fā)階段就開始保護客戶和產品的安全隱私，降低風險和成本，最終構建OPPO的整體可信工程。同時，我們需要一把標尺，衡量我們安全計劃的進度以及OPPO軟件安全能力在業(yè)界的水平，以有方向地提升安全�！�

新思科技為OPPO進行軟件安全構建成熟度模型(BSIMM)評估

新思科技連續(xù)五年被評為Gartner應用安全測試魔力象限領導者，有卓越的前瞻性和執(zhí)行力，可以幫助OPPO對標行業(yè)優(yōu)秀實踐活動，以確定目前OPPO的成熟度水平及軟件安全計劃如何提升。2020年，OPPO開始采用BSIMM，在深圳、東莞、成都、上海、南京等城市面向軟件工程系統(tǒng)進行整體評估，覆蓋軟件工程主要業(yè)務。

自2008年起，新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報告，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標尺，OPPO可以參考并對比業(yè)界優(yōu)秀的實踐活動，以便更加有針對性地改善自身軟件安全成熟度。

聚焦OPPO軟件工程系統(tǒng)相關業(yè)務架構，新思科技前期準備訪談大綱，并進行了為期兩周的現(xiàn)場/遠程專家訪談，在會后出具軟件安全成熟度評估報告，且提供有效的改進及優(yōu)化建議。

 客觀分析現(xiàn)有的SSI

 剖析不同行業(yè)垂直領域出色的安全實踐

基于公司目前的安全現(xiàn)狀，分享其它相關類型公司成功和失敗的案例，并介紹業(yè)界應對安全問題的新舉措

新思科技軟件質量與安全部門高級安全架構師楊國梁介紹道：“通過這些訪談，我們了解到OPPO對其SSI的當前運作方式及未來目標運作方式的想法。BSIMM主要是衡量軟件安全的標尺，將OPPO的安全方案與其他公司正在開展的安全工作進行比較。BSIMM也可用作SSI路線圖，OPPO可以確定自己的目標和行為，然后參考BSIMM來確定哪些額外活動對公司有意義，從而有規(guī)劃地改善SSI�！�

借助BSIMM，OPPO制定了SSI增強方案，持續(xù)優(yōu)化軟件安全實踐。根據(jù)OPPO軟件工程系統(tǒng)安全研發(fā)現(xiàn)狀的調研，系統(tǒng)化的分析現(xiàn)狀，形成分析報告并制定安全能力提升路線和具體落地步驟，通過SDL流程完善現(xiàn)有軟件安全能力，建立安全可信的產品體系，最終構建OPPO的整體可信工程。

成果：軟件開發(fā)安全體系得到明顯提升

新思科技對OPPO安全工程部以及軟件工程系統(tǒng)其它業(yè)務部門的軟件安全活動信息進行了整體評估。對標外部公司，新思科技公正客觀地分析軟件開發(fā)安全體系所處的行業(yè)水平。從近兩年BSIMM評估結果來看，OPPO軟件開發(fā)安全體系在很多領域得到了較明顯的提升。另外，基于OPPO目前的安全現(xiàn)狀，并借助BSIMM評估結果，幫助OPPO制定了有效的SSI提升方案。

王安宇稱贊道：“在兩年的評估過程中，新思科技團隊專家和成員都展現(xiàn)了很強的專業(yè)能力，對OPPO軟工系統(tǒng)軟件安全現(xiàn)狀的評估很切合實際，并提出了提升OPPO安全能力有效的建議。OPPO也希望與新思科技有更進一步的合作，來提升整個企業(yè)軟件安全開發(fā)生命周期的安全合規(guī)能力。”

新思科技資深安全專家王永雷總結道：“結合OPPO公司軟件工程系統(tǒng)安全工程部成立時間等綜合因素，OPPO的評估成果已經(jīng)是業(yè)界比較高的水平。面對數(shù)字化時代中的安全問題，手機廠商以及運營商都需要加強可靠性和安全性，推動終端安全領域技術的創(chuàng)新。在產品設計之初就內置安全是最具成本效益的一種方式。新思科技將繼續(xù)為軟件工程系統(tǒng)提供安全支持，助力OPPO構建整體可信工程�！�