所有人都趋向于认定一个基本事实：那就是软件正在定义一切，与此同时，软件也正在吞噬一切。

这么说的理由是，更快地交付软件已成为企业的重要目标。而为了追求快，或者说为了追求成本效益，随之而来的是软件质量的下降和缺陷的增多，架构师和资深程序员们为此苦恼不已。

那么，有没有既能保障速度和成本效益，又能有效降低软件风险的方法？新思科技新近推出的SRM软件风险管理平台以及新思的可信软件解决方案，无疑是优质且高效的路径。

同时，作为新思科技的重要合作伙伴，OPPO在构建可信软件上的丰富经验和实践，对业界也必定是一个重要的启示。

新思科技的新型安全态势解决方案

新思科技中国区应用安全技术总监付红勋以“构建可信软件的新力量”为主题，重点强调了可信软件的三大核心要义，即让安全态势可控、让移动安全可及以及让安全开发可行。

让安全态势可控是基于现阶段软件安全所面临的“三低”和“两难”的挑战而提出的。付红勋表示，“三低”包括投资回报率比较低，对风险把控准确率低，安全活动速度低，而“两难”则是指安全策略难以统一管理，以及如何聚焦到应用里最关键的安全风险。

那么，解决之道在哪里？就在新思科技新型的SRM平台方案。

说到安全态势，它实际上是源于Gartner提出的“应用安全态势管理”的理念，即ASPM，主旨在于通过ASPM来提升应用安全效率并更好地管理风险。

新思科技软件风险管理平台(SRM)即是基于ASPM的理念而开发的。“SRM平台基于新思科技Code Dx和Intelligent Orchestration智能编排产品的核心技术构建，可提供全面的ASPM解决方案，“付红勋表示。

他进一步强调，SRM方案内置新思科技业界领先的Coverity(SAST)和Black Duck(SCA)两款扫描引擎。同时，还支持超过135种商业或开源的AST工具，“这对于探测 软件代码中的潜在风险具有重要的意义。”

SRM方案的作用和价值当然并不止于此。付红勋用“三化两快”来总结概括其特点，“三化”分别为管理简化、风险可视化和工作的标准化，“两快”则为快速确定风险的优先级，以及快速同步业界领先的AppSec测试能力。

其中，管理简化是指可以把DevOps CI/CD工具、AST工具、缺陷跟踪工具等都统一对接到SRM平台，从而将管理变简单。而风险可视化则是可以将不符合策略的违规项映射到测试结果甚至到代码行。

这意味着，在代码行中就能直接暴露出风险漏洞，开发人员可以更直观地定位到风险所在的位置，从而在底层逻辑上找出问题的本质与关键。

而在揪出了风险漏洞之后，SRM还能让企业高效、智能、自动地去处置这些风险。这种贯穿整个软件生命周期的一揽子解决方案，才是真正让企业和开发人员津津乐道的。

移动应用安全测试的必要性和创新

现代APP开发有个矛盾之处，那就是既追求全面，又追求快速发布。新思科技自动化连续移动应用安全测试(MAST)解决方案，就是为化解这一矛盾而来。

付红勋强调，新思科技MAST是与移动安全和隐私专家NowSecure战略合作的产物，通过对Android和iOS二进制文件进行快速、自动化和语言化的静态、动态、交互式和API安全测试，提供广泛的测试覆盖率。

此外，“移动应用安全测试允许开发者分析包括开源组件和第三方SDK在内的移动应用组件，并可将基于标准的自动化安全测试集成到连续集成和连续交付/连续部署（CI/CD）管道。”

这样一来，MAST就能够让APP发布时间变得越来越快，同时还能够快速地把发现的风险和漏洞修复掉，从而构建一个可信的移动应用，让移动安全触手可及。

OPPO的可信OS系统和多重架构体系

作为业界领先的手机和移动终端大厂，OPPO和新思科技早有渊源。2021年，OPPO就借助新思科技BSIMM模型评估，制定了独有的SSI增强方案，优化了软件安全实践。

除了BSIMM评估外，双方在软件安全领域的合作一直在持续深化，新思科技也连续三年荣膺OPPO年度优秀合作伙伴大奖。而提升终端安全能力和开发可信产品，是双方合作的共同主题。

OPPO终端安全领域总经理王安宇表示，5G网络的普及带动了移动流量，而移动流量的爆发式增长则带来了严重的安全和隐私威胁。“如何保护安全和隐私，已成为近年来消费者的重大诉求之一。”

针对此，OPPO构建了关键的可信系统。王安宇也以“构建可信的终端OS”为主题，重点介绍了端到端的数字化可信框架、产品研发全生命周期解决方案以及对于安全能力最佳实践的探索。

所谓可信系统，是将“可信”映射到端和云协同的系统上，它是端云信息生命周期安全的基础。“OPPO可信系统由四层可信框架构成”，王安宇表示，”从基础层到能力层，到安全支柱层，再到最上层的隐私、合规和透明，它们共同构筑了数字化的可信，从而打造安全现代的客户业务和产品。”

这一整个贯穿的流程，OPPO称之为研发生命周期流程和安全能力最佳实践。“软件的需求、设计、实施、测试到发布的每个过程，OPPO都会引入业界的最佳实践，从而构筑起OPPO研发安全生命周期的流程和能力。”

而提到安全的具体实践，王安宇列举了三个维度。包括将外部诉求映射到内部的安全和隐私的要求，和新思科技联手的可信合作，还有就是开源合规。

我们前面已经提到，OPPO和新思科技的合作已经很深化了，在可信系统的构建上同样如此。新思科技为OPPO提供综合的应用安全管理产品和服务，包括软件安全构建成熟度模型（BSIMM）评估、Coverity静态应用安全测试、Black Duck软件组成分析以及Seeker交互式应用安全测试等。

以新思科技的BSIMM为例，OPPO从2020年开始采用该模型。借助BSIMM，OPPO根据软件工程系统安全研发现状的调研，开展系统化的分析并形成分析报告，最终构建OPPO的整体可信工程。

王安宇强调：“我们会基于BSIMM雷达图去识别企业在软件安全能力上有哪些可改进的点，然后再基于改进产生的价值定义优先级，更好地去建设整个企业的安全合规体系。”

结语

最后，在谈到企业安全和合规的体系建设时，王安宇将之总结成People（人）、Process（流程）和Technology（技术），缩写成PPT。“这个是我们整个企业安全合规体系建设的方法论“，他强调。

可以说，借助于新思科技所提供的优质软件安全产品和服务，OPPO有效构建了在安全可信方面的核心竞争力，从而为软件安全构筑固若金汤的护城河，解决了用户所最为担心的隐私问题。

在这场精彩的访谈中，我们了解到了，顶尖的软件安全公司和顶尖的手机终端公司，它们是如何运作安全策略并高效协同的。这无疑也给了市场一个安全防护层面的经典案例。

而我们也有充分的理由相信，新思科技和OPPO的合作必将持续深化，从而向市场推出更加安全、可信、合规的应用，共同构建健康、良性、安全的互联网生态环境。

　

2023年09月20日 于上海

版权作品 未经许可 请勿转载