浅谈华为SDL软件安全工程能力

• 网络安全和隐私保护是公司的最高纲领

• 安全支撑组织架构

• SDL实践

• • 需求

  • 设计

  • 开发阶段

  • 上线前测试时

  • 应急响应

  • 供应链安全

• 白盒代码扫描

• • 目标

  • 建设

  • 运营层面

  • 代码权限管控

• 安全专家

• 参考资料

浅谈华为SDL实践

    谈华为安全，缺一漏万，笔者认为其是在SDL领域国内最强的公司，其建设的难点也同互联网公司迥然不同，在于历史债务如何处理，如何做工程化，下面简单介绍下软件安全能力建设的部分。笔者希望华为可以更多分享一些安全设计的机制、内部的PSIRT运营、全球网络隐私合规、商业安全工具平台、对客户提供的安全解决方案等。以下内容均基于网络公开信息，笔者已脱敏处理：）

网络安全和隐私保护是公司的最高纲领

    年初华为有任正非签发文《全面提升软件工程能力与实践，打造可信的高质量产品------致全体员工的一封信》，这是一篇最被安全界低估的文章，十年后再看此文的历史地位会堪比亚马逊老板贝佐斯发出的服务化宣言，彻底改变了IT行业。安全圈已经被“以攻促防”思维主导太久了，要转变观念变外挂安全为内生，就得看看华为倡导的扎实的安全工程思想：

安全性（Security）产品有良好的抗攻击能力，保护业务和数据的机密性、完整性和可用性。

韧性（Resilience）系统受攻击时保持有定义的运行状态，包括降级，以及遭遇攻击时快速恢复的能力。

隐私性（Privacy）遵从隐私保护既是法律法规的要求，也是价值观的体现。用户应该能够适当地控制他们的数据的使用方式。信息的使用政策应该是对用户透明的。用户应该根据自己的需要来控制何时接收以及是否接收信息。用户的隐私数据要有完善的保护能力和机制。

可靠性和可用性（Reliability& Availability）产品能在生命周期内长期保障业务无故障运行，具备快速恢复和自我管理的能力，提供可预期的、一致的服务。

    要转变观念，追求打造可信的高质量产品，不仅仅是功能、特性的高质量，也包括产品开发到交付过程的高质量；要从最基础的编码质量做起，视高质量代码为尊严和个人声誉；要深刻理解架构的核心要素，基于可信导向来进行架构与设计；要重构腐化的架构及不符合软件工程规范和质量要求的历史代码；要深入钻研软件技术，尤其是安全技术；要遵守过程的一致性；要改变行为习惯，追求精品；将通过变革形成一套适应上述变化的流程、组织与考核机制。

    互联网公司不要盲目追随DevSecOps文化，只有扎扎实实为用户交付安全的软件，才能从源头上解决安全问题。华为和互联网公司有什么不同呢？它所使用的技术除了云计算、大数据领域外，还会有SDN、5G、IoT，但是和互联网公司一样面临自己（和客户的）攻击面扩大，防护边界模糊、数据泄露风险、隐私保护的问题，华为在网络安全遇到的挑战更甚，面向产品的安全做得也不算差，安全方面专利超过1000件，加入CSA、TCG、TC260等多个安全标准组织、 获10+个主席/副主席安全组织席位。在国际市场上安全方面的应对措施无可挑剔。

安全支撑组织架构

  还记得，之前怼BBC记者的安迪·帕迪吗？他曾是负责网络安全的白宫高级官员，如今身为华为美国的首席安全官，他的上司John Suffolk是华为全球网络安全和隐私官，曾担任英国政府首席信息官。华为在全球有7个研发团队，此外还有两个专门投入安全研究的实验室。其中谢尔德实验室负责面向未来的安全技术的研究，未然实验室对攻防、渗透、漏洞挖掘、情报积累负责，还有云安全，2012都有安全实验室。不得不佩服华为竟然让外国人当安全大boss，对国外人才的开放透明精神彰显文化自信。

SDL实