软件在开发过程中,会遇到相应的开发安全问题,一是软件自身存在错误和缺陷引起的安全漏洞,二是来自外部的攻击。良好的软件开发过程管理可以很好地减少软件自身缺陷,并有效抵御外部的攻击。而 DevSecOps则通过一套包含了人文、流程、技术的框架和方法,把安全能力无缝且柔和地嵌入现有开发流程体系,它有助于在开发过程早期而不是产品发布后识别安全问题,让每个人对信息安全负责,而不仅仅是安全部门。
DevSecOps 是一场关于 DevOps 概念实践或艺术形式的变革。包含的关键能力有“功能流程设计的高效和可落地性”、“安全开发生命周期各个节点合规安全基线的建设能力”、“安全工具链的集成能力和自动化能力”“检测工具的风险问题检出率”。并可构建基于应用的全生命周期安全运营体系,让安全贯穿整个业务生命周期(从开发到运营)的各个环节,包括技术开发、测试、上线及运营等各个阶段的安全赋能。
安全开发面临诸多挑战,安全事件无法形成数据关联、感知安全风险;应用开发外包比例高,风险不可控;安全开发规范与业务部匹配;没有形成整体安全能力;安全问题修复成本高等。针对以上痛点,爱加密可提供以企业应用安全开发全周期为基础,以安全基线、安全开发指引、资产管理、开源组件漏洞扫描、源代码审计、安全运维管理等为核心,集成第三方安全工具的安全开发管控平台,帮客户实现安全开发知识化,安全管理统一化、安全运营标准化。
爱加密安全开发管控平台,应用开发全周期管理流程包括立项、需求、设计、开发、测试、部署、运维,通过对各阶段流程的梳理、评审机制的建立、相关资源库的建设,通过数据接口收集各阶段安全数据、开发数据及漏洞样本,并运用大数据、知识图谱及AI等核心技术,实现应用开发全生命周期的智能安全管控,使得安全态势可视化、安全数据仓库化、安全指标评价精细化、安全功能调度便捷化。
01 平 台 架 构
02 主 要 功 能
立项及风险评估:
基于行业实践的系统安全风险等级评估模型、安全能力评价模型和流程裁剪机制,快速定位重点/高风险系统,实现与开发团队的动态反馈互动机制。
安全需求分析:
结合行业国家标准、银行业监管规范、金融威胁资源库等内容,智能化分析安全需求。充分利用16类500+个威胁点资源库、1000+条监管条文,实现安全合规、业务安全、应用安全、数据安全、通信安全、客户端安全等需求分析,做到更具针对性和目的性。
平台示例
安全设计方案:
确立安全需求之后,通过安全设计知识库生成安全设计文档,再通过攻击防御类、工具支持类等安全组件的运用,结合在线安全设计评审,最终形成设计方案。
安全编码检测:
通过项目管理模块、统计报表管理模块、快速检测模块、报告管理模块及用户管理模块的综合运用,可实现自动检测、智能审计、业务逻辑漏洞检测等功能。
在线安全评审:
提供在线评审功能,基于金融行业实践的上线前检查表;自动汇总各个阶段文档;自动汇总前述各阶段数据填充检查表,辅助评估,提升效率。
运维资产管理:
上线前与上线后双向软件资产发现,完整的企业级软件资产管理能力;支持开源代码组件框架及同源性分析,实现开源代码管理和开源代码漏洞管理。
03 核 心 优 势
丰富的安全知识库、安全组件库及安全工具库,多年行业安全开发经验的积累,众多安全专家的知识沉淀,为安全需求落地实施提供技术支撑。
高效合理的安全管理流程,合理设置安全控制流程和控制点,上线效率及系统安全显著提升,降低安全开发成本。
基于DevSecOps的开发运维闭环管理,系统前端(APP等)到服务端的全覆盖,基于机器学习的持续改进能力,实现对业务创新与发展的持续支撑能力。
开发全生命周期智能化支撑,轻量化-模块化、可配置、全对接,提升安全运维能力,基于于零信任、纵深防御的安全组件威胁检测和告警能力。