软件安全问题一直都存在,一方面,软件内部可能存在安全漏洞,另一方面,在软件开发管理过程中如果不注重软件安全开发,便会埋下许多隐患。SDL软件安全开发周期Security Development Lifecycle ,是微软安全开发管理方法论中从安全角度指导软件开发过程的管理模式,其核心理念就是将软件安全的考虑集成在软件开发的每一个阶段:需求分析、设计、开发、测试、部署和维护。
互联网时代,软件安全开发的重要性不言而喻。企业在软件开发的过程中面临着多种问题,如开发人员的安全专业能力参差不齐,无法承接和落实安全开发的工作;很多安全工具能力有限、数据孤立,无法对安全工作形成有效支撑;安全数据没有整合,无法建立完整的安全评价体系,难以对安全工作的成绩、问题进行全面分析和表达;无法满足安全合规需求等,因此,企业需要进行安全开发建设以高效地应对这些问题。
安全开发的建设是个长期的过程,企业需要了解软件开发生命周期,贯彻安全开发的思想,从源头着手,减少软件安全的缺陷和漏洞、培养软件开发人员的安全开发意识,提高安全开发水平,提升IT产品和系统的防御能力, 帮助企业构建更安全的软件,解决安全合规要求,降低开发成本。
爱加密安全开发管理平台以SDL(Security Development Lifecycle安全开发周期)为设计理念,以安全开发流程、安全基线为准绳,以安全需求与行业标准为驱动,是覆盖应用开发各环节、工具统一运行调度的管理系统。平台包含了各阶段流程的梳理、相关安全知识库的建设、评审机制的建立,是覆盖应用开发安全建设的智能安全管控平台,从立项开始安全管理全程介入,力争及早发现和解决安全问题,可实现安全左移的管理效果。爱加密安全开发管理平台秉持先进的设计理念,顺应软件开发时代潮流,兼容多种开发模式,包括自适应瀑布开发模型、敏捷开发模型、DevOps模型等,可为各类企业软件开发安全赋能。
核心功能
标准功能:
安全需求分析:采用问答形式输入业务功能需求根据安全知识库生成安全需求清单。
安全解决方案:根据软件的安全需求及行业属性输出安全开发建议、安全设计方案并可选安全开发组件。
安全检查清单:根据软件的业务类型、安全需求及安全设计方案输出安全检查清单和测试用例,指导安全人员、技术人员进行上线前的安全检查,帮助企业实现软件的安全左移。
灵活拓展:支持安全能力的拆分与对接,最大限度融入企业开发、测试流程,实现DevOps的安全增值。
拓展功能:
定制化安全工作流程:可覆盖软件立项、安全设计、安全测试、安全发布等评审内容,实现软件全生命周期SDLC的安全管理。
扩展安全工具:在安全测试环节可扩展白盒、黑盒维度的安全测试工具,增强安全测试环节的效率与检测范围。
安全评价:支持对软件项目组、软件安全质量进行评价与分析,便于软件开发企业对安全开发工作的持续监测,建立长效的管理机制。
应用场景
PLAN计划阶段:能够提供系统风险等级和安全需求报告,让安全人员或开发人员尽快了解系统的风险程度及系统将面临哪些漏洞风险。
Create创建阶段:能够提供安全设计解决方案、安全开发建议、编码用例及安全组件库,为开发人员提供参考和使用,赋能安全开发。
Verify核查阶段:能够提供安全测试用例及方法、帮助开发人员或测试人员进行测试,提升测试效率,实现安全需求闭环管理。
产品价值
1、帮助软件开发企业提供软件生命周期中专业的安全知识库、安全威胁库、安全测试用例库等内容,增强软件生命周期各环节的安全质量。
2、提升软件项目组的安全设计能力、安全开发意识、安全测试效果以及整体的安全能力。
3、可覆盖多样化的开发模型,以灵活多变的方式为各类软件开发进行安全赋能。
4、安全工作左移,在软件立项、设计之初便融入安全因素,使安全工作少走弯路。