Cigital是一家专业的软件安全工程成熟能力进行评估的美国公司，从2013年开始，每年对我们产品的安全管理进行评估，有12个评估项目，我们有9项达到了业界最高级水平，其他三项也高于业界的平均水平。

但是大家很清楚，安全威胁的环境在发生变化，攻击渗透的技术不断进步，黑客能力水平越来越高。单单安全能力强，防攻击、防渗透能力很强，就好比是一个椰子，外壳很坚硬。万一外壳攻破了会怎么样？不能像椰子一样里头是一堆水。

所以，我们共同的关注点就从外面转到了里面。里面怎么样涉及到韧性，涉及到开发过程是不是高质量，是不是可信。从结果角度上升到了过程角度，结果要好，过程也要好。

HCSEC是可以看到华为的源代码的，（代码）是不是可读，是不是易修改、易构建都知道，好比一个人是赤裸在那里。

现在CESC的问题是，你们的代码不够漂亮。代码是华为三十年在通信行业，像windows一样累积起来的三十年代码，华为的代码要在不漂亮，易读、易修改等方面进行改进，还要把过程改进。不但结果是高质量，可信的，过程也要是可信的，才能证明可信。这就把焦点聚焦到整个软件的生产过程，我们叫做软件工程与实践，而且用面向未来的标准来对应历史上三十年的所有代码。