高通副总裁Alex Gantman：非常高兴，非常荣幸能够参加这次会议。

实际上消费者对于他们购买的产品期望有了戏剧新的转变，我们看看左侧屏幕上的产品，这是一个非常舒适的皮衣，还可以做出令人难以置信的卡布奇诺的咖啡，他们还需要仔细的维护他们的设计，他们的设计并不考虑被滥用的情况。

右边是特别设计成放置在公共场所，并且能够经得住大量的反复使用的，甚至滥用的，而且提供最低限度的功能，长椅不像椅子那么舒适，自动售货机咖啡的口味远远不如一个好的咖啡机里得到的那样。但是最重要的是，这些实际上成本远远超过他们对应的消费类的产品。

我们在家里使用的很好的产品不同，它们经得起滥用。智能手机等设备在这方面就有不同的要求，因为它们运行的网络暴露在互联网上，所以他们基本上是在公共的空间里。

我们期望我们的消费产品当中的软件实际上不仅能够承受活跃的孩子和青少年偶然的虐待，甚至经受过训练的专业人员有针对性的攻击。

我们在这里停一下，想想这种变化的意义。这并不是我们的抱怨，抱怨宇宙如何对我们不公平，让我们解决一个比别人更困难的问题。

现在相反，我感到自豪的是作为一个行业，我们已经能够应对这一挑战，以前没有其他行业能够实现这个目标，我们还没有完成任务，还有很多事情要做。只要关注于日常的工作细节，让我们容易忽视进展。

智能手机可以说是你身边最安全的数字设备，虽然在网络犯罪方面存在着很多区域的差距，但是移动产业从未面临与PC行业相同规模的攻击。尽管每个产品都伴随着炒作、图标和品牌，但是真正的新黑客利用仍然非常罕见。

事实上真正的攻击越来越针对的不是设备的漏洞，而是利用用户的信任、轻信和误信，无论是恶意应用程序要求权限，网络钓鱼、电子邮件，用户帐户和密码，还是欺诈者要求付款的骗局。

这些攻击的共同点是，他们不利用技术漏洞，而是欺骗用户做某些事情达到攻击者的目的。

甚至于最近的互联网络瘫痪，也是利用缺省的默认用户帐号和密码大规模的传播的。所以这些并不意味着是用户的错，就是应该把这些作为进步的机会，还有很多的机会要做。

我们面临很多问题，看似越来越变得困难，是这样的，但是我们并不认为我们的情况变得更糟，但是恰恰相反，这是事情变得更好的标志，我们面对的问题比以前的任何时候都要更难，因为我们终于准备好如何应付他们，我们正在达到我们的目标，这是在几年前我们都不可能梦想甚至是尝试的。

当然，我们也不是一夜就能达到这里的，我们要看到这个市场新的意义。我们看到的进步是什么？是几十年行业的辛勤工作的结果。我们要设计，要推广，怎么样让消费者来进行对比，怎么样来让行业的规定者评估，这个对消费者实际上是一个新的，但是我们应该来面对这样的市场。

我们不是一夜达成这样的，我们看到这样的进步是几年，甚至是几十年辛勤工作的结果。
我负责高通的安全产品战略和策略，我们在2006年就推出了这个举措。

2006年是第一个高通的芯片发布的一年多钱，也是第一部iPhone面试的第一年，然后在智能手机时代的前夕，我们高通公司的产品安全工作已经得到了足够的动力，并且已经开始了全公司范围推动产品安全战略的举措。

我们的很多安全产品工作可以更早，2000年初高通开发并推出了一款名为Brew的手机应用平台，这个应用程序经过加密，鉴定了它们的来源，包括还有权限设置，访问一些敏感的设备接口和数据，比如联系人、网络信息访问，这些权限设置使用相同的密钥签名实施。

像这样的安全功能以及手机应用商店的核心概念是我们都把他们作为现代智能手机平台上理所应当的，而高通公司的平台恰恰是这方面多年前的延续。

在此之前，在20世纪90年代，高通的安全工程师和业界合作伙伴合作，为新兴的无线数字通信标准设计安全标准。

早期蜂窝的移动通信基于模拟技术，并且通常是不安全的。对于用户低成本无线电线接收机的来说，窃听通话或者窃听设备标识码，并盗用其他人的通话时间是相当简单的。

新的数字标准旨在解决这些问题，每一代蜂窝移动标准都比上一代更安全，这就是为什么及时淘汰老旧的过时技术很重要，以便降级攻击的机会。

今天我们的产品安全部门是一个由大约50名安全工程师组成的全球团队，我们与整个公司的开发团队合作，以提升我们产品的安全。

我们正在不断的增加攻击者的攻击成本，其中包括一系列涉及安全防御、风险缓解和应急响应的措施。为了尽可能的降低我们的产品漏洞，软件开发人员的安全编程教育对软件的静态分析和安全测试都是旨在最大限度的减少漏洞的数量。

产品中的分层是阻抗措施，使攻击者更难以可靠的利用仍然存在的漏洞。这样对威胁情报的收集和安全社区的外联，让我们更好的了解进攻和防御最新趋势的发展。

我们的应急团队战略性的分布在欧洲、北美和中国，旨在当新的问题出现时能够快速的做出全球相应。

我们团队对所有高通产品的安全责任工作涵盖了产品技术的所有层面，从芯片、硬件到固件，操作系统再到应用协议。

我们面临的市场和产品类别也是多样化的，我们深知我们的工作可以使全球数十亿用户使用的设备更加安全，我们为此感到非常自豪。

技术挑战的深度和所能产生的影响的广度不断的激发着我们，如果这听起来很吸引你，我们总是在寻找更多的有才华的安全工程师加入我们的全球团队。

我们明白我们只做好自己的是不够的，考虑到我们所在的移动生态系统的复杂性，所有的参与者都可以对我们共同面临的挑战积极发挥作用，为了促进更多的合作与交流，我们对业界开了年度安全峰会的大门。

我们的安全峰会汇集了来自整个行业的安全从业人员，分享经验，交流想法，头脑风暴式的探讨解决方案，在安全业界的反馈非常积极。

我们也很荣幸的邀请到世界顶级的安全研究团队，如腾讯科恩实验室来参与，并展示他们令人骄傲的研究成果。这是我们对安全的深刻和持续的承诺，我们带着这样的承诺进军新的市场。

三十多年来高通一直在推动移动技术的发展，从模拟通信到使用CDMA数字通信的过度，这些进步永久的改变了人们如何生活、工作和保持联系。

今天高通Snapdragon处理器驱动着超过十亿台设备的心脏。我这里有一个Snapdragon处理器，这个就是芯片。

我们的图像处理器、基带信号处理器、无线网络处理都在一个小小的芯片上，只有指甲大小。

这个芯片更多的是一个系统，而不是一个处理器，是一个芯片上的系统网络，每一个子系统都可以认为是一个独立的计算机，通过网络连接到其他的子系统。

我们可以看到，运行移动操作系统和所有系统的中央处理器在右边，有一个小盒子。在这些小的处理器中有自己的固件、操作环境和软件。

实际上即使不包括中央处理器操作系统机器运行的所有内容，就是其他的这些子系统运行的代码加起来超过两千万行，我们的很多努力都要确保代码的安全性，并且每个子系统被正确的分割，并与其他子系统隔离。

这样的话，如果一个子系统被攻击迫害，它不会直接导致任何其他子系统的妥协。

这是10多年来对安全持续投资的产物，是基于强大的硬件和软件集成的安全功能，包括安全启动、加密、加速器、安全密钥设备和安全执行环境，也是基于系统各个方面的整体强化。

利用我们安全方面的优势，广泛的技术组合和端到端的专业解决方案技术，我们正在推动一个斩新的增长阶段，就是把我们周围的一切联系起来。

一个明显的例子就是汽车，十年以前，汽车的内部有了大量的创新技术，我们看到嵌入式的移动蜂窝LTE技术，Wi-Fi移动热点功能以及无所不在的蓝牙技术大量的实用在汽车来。

智能连接使车辆能够与其他的环境连接与交互，更加的自主和自动性，允许自动驾驶车辆去感知、思考、行动，并安全的在他们的环境中自主导航，共享经济。

从看重汽车所有权到汽车共享的转变，在现有的汽车行业和生态系统。
首先来自加州大学圣地亚哥分校的研究，来自知名的安全研究人员，腾讯科恩实验室的研究，都表现了汽车在这方面的能力。

汽车物联网正在迅速采用移动技术，每一个行业要进入一个新的增长阶段，每个行业都在寻找使用移动技术的方法，加速设计周期，高度集成和优化。

我们在这种新兴的行业要不断的靠自身的精力来学习，要通过自己的体验，只要能通过观察看别人骑自行车来学习，我们也不可能学会骑自行车，你只有自己摔倒几次才会。

做安全也是如此，在过去十几年里，我看到大多数公司似乎都经历了五个阶段。首先是否认，在拒绝阶段中对漏洞报告的典型响应是这不是攻击的问题，攻击者是某种天才或者巫师，没有什么可看的。

安全研究人员经常把拒绝作为一个邀请或者是挑战，一个更清晰和明确的漏洞的示范，这是安全研究人员很愿意和急切想建设的。

拒绝之后的阶段就是愤怒，在愤怒时的典型响应是试图使安全报告之外的人员保持沉默，如果你幸运的话，公司内部保持头脑冷静的一派占优势，防止公司公开抨击外部的安全研究人员。

如果不是幸运的话，大多数企图使安全研究人员保持沉默的努力，到最后就像通过烧气球来灭火一样，火是越来越大。

愤怒之后就是讨价还价，在接受安全问题真实存在后，承诺在未来的版本中加入某些安全功能。太多的公司都陷入了讨价还价的阶段，这个阶段太久了。

让我们在这里停下来思考一下，为了理解为什么在讨价还价阶段太久，很重要的一点是认识到安全产品和产品安全之间的差异。

简单来说，安全产品是支持一些特定的服务和功能，产品安全是强化产品来阻抗攻击。

我经常用医院的比喻来解释这两者的差距，医院需要为治疗使用合适的医疗设备和器材，比如X光机和药品，这个就像是安全产品。

医院需要非常卫生的医疗实践，以保护患者免受医疗的错误和病毒的感染，这是产品安全，这两个方面对于一个好的医院是必不可少的，如果在住院管理上出现错误病人不能得到很好的治疗，如果医院有最干净的卫生条件，没有人犯过错误，但是没有必要的医疗设备，这家医院也无法为病人提供好的治疗效果。

很多公司陷入在这个陷阱，还没有意识到两者之间的区别，他们通过添加更多的安全功能来解决问题，而不是解决基本的产品安全问题。如果你的问题是开发人员编写的代码有很多漏洞，添加加密功能是不会有帮助的，迟早成功的公司会意识到这一点。

所以从讨价还价的阶段要继续走下去，但是不幸的是，下一阶段是消沉。

这些产品安全团队，就像我的团队已经开始监管这个问题了。我们进来看看代码库，我们可能会想，有这么多的代码，这么多的软件开发人员，以及如此多的发行版本，我们永远都不可能做到让我们的产品安全，还不如现在就放弃吧，或者期望如果我们能停止未来几年所有产品的发布，我们或许可能从头开始，重新开始整个产品。

消沉是一个非常衰弱的阶段，在我们公司我们是在首席执行官干预之后成功的摆脱了这个阶段。

有一天他让我和负责软件开发的负责人一起坐下来，告诉我们他听到了两个不同的故事。

从软件团队那里他可以听到很多提升产品安全的工作正在进行，从产品安全的团队，他却不断的听到所做的这些都是远远不够的。

所以他告诉我们，去做一个简单的事情，就是要做什么，什么时候做，以及我们计划怎么样做，所以说这个就是我们要进入的最后的阶段，那就是接受。

在接受这个阶段，你意识到安全就是你的健康，想要改善的话，就要有稳定的健康饮食和锻炼的方案，对软件这就意味着安全开发生命周期，这和健康饮食和锻炼的类比是非常合适的。

这就好像是健康饮食和锻炼一样，你永远都做不完，你不可能这样做几个月，然后就觉得足够了，你也不能够把它委托给别人。

就好像你不能够让别人来代替我们所有人的锻炼一样，你的产品的安全也不能仅仅是安全团队的问题，每个人都需要参加，你应该把你的安全团队作为你的教练，他们来帮助你做出最好的，但是不是替你来做。

现在其实它有很多的工作，而且事情不可能在一夜之间就一蹴而就，也不像是在你的产品当中贴一个标图那么简单。

但是稳定定期的对产品安全的投资会带来很多的改善。一天又一天，每天都好一点，随着时间的推移你会越来越好，你越来越好，就能够继续迎接更加困难的问题。而且这并不是事情变糟的迹象，这是我们变得更强的标志。

我想要再来谈一下安全开发生命周期。它不会因为产品发布而结束，只要产品继续被用户使用，安全的工作就需要继续。

我们回到了对消费产品新的期望，我们不仅希望我们的产品在设计和构建时考虑到安全性，以抵御攻击。而且我们希望随着新的漏洞被发现，我们的设备能够定期获得修补和更新。

今天的那些产品售后被遗忘的日子已经结束了，消费者都期望定期的安全更新。

所以说开发测试和部署软件补丁都需要花费不少的资源，因此，我们不要惊讶，我们四周看一看，似乎那些修补产品的公司也往往是那些可以在这些设备上产生连续收益的那些公司，这些收入是可以直接来自所提供的服务的，或者是从广告获得，或者是从应用渠道当中间接的获得。

而与此同时，在进行软件修补和升级上不断遇到挑战的公司，也往往能够在设备出售时获得所有的收入。

所以说要在产品修补和信息方面做更多可持续的连续投资，唯一的方法就是要有一个连续的收入流来抵消这个成本，这个就是我今天想要给大家分享的一些想法。我们所有的人都有责任来开发新的商业模式，来满足新的客户期望。

以上就是我今天的想法，谢谢！