BSIMM评估华为软件安全能力业界领先

  ICCSZ讯 截至2018年第一季度，华为软件安全能力成熟度完成了多轮BSIMM评估，在十二项最佳实践模块中有九项表现出色；在第三级活动中获得评分，这一级别活动最不常见。华为在BSIMM数据库里的100多家ICT企业中排名前列。作为ICT领域的领导厂商，这标志着华为在软件安全流程和工程能力领域已达到了国际水平。

  BSIMM（The Building Security In Maturity Model）是由美国Cigital公司（已被Synopsys收购）发起的一个软件安全研究项目，2008年发布了第一个版本。其通过对大量企业进行评估得出的统计数据，进行分类归纳，形成业界优秀的软件安全评估模型。截至目前，BSIMM模型已在全球超过100家公司得到应用，覆盖多个纵向领域，包括金融服务、独立软件供应商、技术公司、云、媒体、安全、通信以及互联网运营商等，包括微软、Nokia、Oracle等世界顶级软件公司。

  从2013年开始，华为就与Cigital公司开展了BSIMM评估，每年抽取产品进行安全能力评估，包括安全策略制定、安全培训、安全架构设计、安全测试等。通过连续五年的评估和持续改进，华为软件安全能力成熟度得到了极大地提升。

  Cigital评估顾问在本次测评的总结中提到：“华为在软件安全方面做得比较好，而且是持续性的进步。建立好的安全工程能力，需要有人、工具、流程的共同配合，华为在这三方面都有很好的表现。”

  华为首席安全架构师付天福认为：“从BSIMM的安全活动数据演变中可以发现，无论是加入软件评估的企业数目，还是各企业内专业从事软件安全的人员比例，都呈现逐年上升的趋势。这说明网络安全在产品开发过程中受到越来越多的重视。自动化、工具化将会成为软件安全的基本保障措施，从而将安全人员从重复繁琐的工作中解脱出来，专注更有创造性的安全活动。”