默安科技SDL/DevSecOps全流程解决方案,是一套拥有完整自研“工具+平台+服务”的全流程解决方案。具备业内最完整的开发安全工具链,根据白盒、黑盒、灰盒的测试方法,通过提供STAC、SAST、IAST、SCA、SDPP工具,覆盖软件开发过程中的需求分析、编码、测试和上线运营等关键阶段。同时,根据用户需求配备完善的开发安全专家团队深度参与完整流程,以“陪伴式安全服务”的方式帮助用户在满足合规要求的同时,完成安全开发体系的建设和落地。
方案背景
互联网技术的迅猛发展和业务规模的迅速扩张使敏捷开发与交付成为常态,系统开发安全成为工作痛点。据研究,大多数安全漏洞发生在应用程序层,而在软件发布甚至上线运营后频繁出现严重安全问题,将不仅会给软件发布者产生巨额的公关和漏洞修复成本,还会使其自身的品牌口碑、公信力带来巨大损害。此外,现有研发安全商业工具的误报问题,是研发安全建设中的关键痛点,误报问题导致的直接结果,是来自一线研发人员的安全落地阻力。如何在迅速交付、便捷上线的基础上,保持安全水准不降低成为了困扰用户开发测试部门的棘手问题,主要体现在以下几个方面:
1)面临法律法规的监管压力,用户拥有庞大复杂的业务网络、众多的数据中心、分支机构及营业部,随着《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》的陆续施行出台。自主研发的应用系统不但需要遵守欧盟《通用数据保护条例(GDPR)》、《支付卡行业数据安全标准(PCI DSS)》等国外法律,还需满足国内的法律要求。如何满足合规要求,切实保障客户权益是用户面临的关键挑战之一。
2)威胁建模知识体系缺失,落地过程中遭遇不少挑战,例如缺乏优秀的自动化建模工具,安全团队没有时间和精力对每个应用都实施建模,缺乏对威胁建模足够的了解,知识库涉及不同领域、专家经验难以共享等。
3)开发安全检测力度不够,例如在编码、测试阶段缺少相应的安全检测工具,上线前缺少安全评审、漏洞验证等工作,上线运维阶段缺少持续的风险监测等,导致漏洞发现不够及时和完整。
4)缺乏统一的开发安全管理规范,包括开发安全流程整体规范、应用安全设计规范、安全编码规范以及上线安全评审规范等。
方案目标
1)满足法律与合规要求,避免因违规带来的行政处罚。
2)雳鉴STAC基于业务场景的威胁建模,帮助用户完成内部知识体系建设,并以最小成本解决安全风险。
3)雳鉴SAST与开发流程整合,及时检测、修复代码安全漏洞,减少安全人员与项目成员的沟通成本。实现开发阶段的代码安全漏洞生命周期闭环管理,以最小的代价帮助企业和组织实现源代码安全的自动化检测、漏洞周期管理、安全质量分析,实现源代码安全的可视化管理。
4)雳鉴SCA使用基于AI技术的组件识别引擎,全面发现所有三方组件及其漏洞,分析合规风险。精准全面分析软件成分,报表自动化生成,安全价值量化可见。
5)雳鉴IAST的应用极大的提高安全测试的自动化程度,帮助用户测试中心实现漏洞风险可视化、可管理化以及可数据化。
6)帮助用户全面提升员工安全意识以及关键业务项目组成员的安全开发专业能力。
7)具备完善的开发安全管理规范并推动落实。
方案特点
1)具备专业可落地的SDL流程体系
默安科技SDL/DevSecOps全流程解决方案,不只是交付一套SDL流程、制度和实施指南,还有当前业界最完整的开发安全工具链作为能力支撑,包括雳鉴系列的STAC、SAST、IAST、SCA等工具,以及更细层面的SDL流程执行配套表单工具,如《安全功能测试用例》等。
默安科技SDL流程表单工具由默安科技开发安全专家团队在实际SDL项目实施过程中进行不断总结和沉淀形成,覆盖了大量常见的业务系统场景下的威胁模型,为用户开发安全体系的建立和落地奠定了坚实基础。
针对有轻量化落地需求的用户,还可支持定制基于雳鉴系列检测平台和上线安全检测服务的轻量化落地SDL体系和流程,以满足多元化的用户研发安全需求。
2)提供专业多元化的SDL运营服务
默安科技开发安全团队深度参与用户安全开发体系建设,通过“陪伴式安全服务”的方式对用户开发流程中相关员工进行多元化的安全赋能,提供工具使用、安全技能与意识培训。包括:对用户研发团队中的关键岗位展开各类工具使用场景、使用方法的培训;针对不同岗位,对安全需求、安全设计、安全编码、安全测试等关键阶段必须具备的安全能力展开相应的技能培训;针对全体员工进行安全意识、开发安全流程等通识性培训。
3)业内首创的零打扰安全介入
默安科技开发安全专家团队的轻量化介入,为整个业务交付起到画龙点睛的作用,在不更改原有工作流程、不增加相关人员工作量、不更改其工作方式的基础上,实现更为有效的安全落地。
方案业务流程图
实现功能展示
流程分布:
1)需求设计阶段
默安科技的雳鉴STAC具备完善的知识库,可协助用户进行内部知识体系初步建设和沉淀,并在应用系统设计之初,即对项目场景和软件架构可能面临的安全风险进行多维度威胁评估,针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案自定义功能,以最小成本解决安全风险,有效提升用户的安全建设水平。
同时,可将数据安全融入前期的威胁建模和安全设计工作中,提出具体的数据应用场景风险和技术控制要求,包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。
2)编码测试阶段
默安科技的雳鉴IAST采用代码数据流与请求结合进行漏洞检测的模式,融合SAST(白盒/静态安全测试)和DAST(黑盒/动态安全测试)的优势,贯彻安全左移思路,将风险发现和修复工作在早期即完成,可以有效控制“带病上线”的风险,为用户测试中心实现安全赋能,并向自动化安全测试的建设目标推进。
雳鉴IAST遵循个人信息保护法、欧盟GDPR、PCI DSS等法规标准,可以帮助用户快速检测应用系统中不合规的个人隐私数据处理行为,迅速定位存在隐私泄露风险的漏洞地址和代码位置,帮助开发人员快速定位和复现问题。
此外,雳鉴IAST还提供详细的风险修复建议,供开发人员参考或提供专业安全服务,协助并指导开发人员完成漏洞修复。
3)采用“先试点后推广”的方式稳妥推进
根据开发项目进度,建立多个试点项目,以实际的安全效果和价值赢得用户开发团队的信任。
4)“陪伴式安全服务”进行全量安全工作赋能
陪伴式安全服务是指在安全左移或安全开发体系落地的全流程中,持续融入专业安全开发人员的服务,包括制定管理办法、流程、考核机制,流程评审与完善、应急响应等全流程运营服务以及开展针对性的安全培训等。默安科技开发安全专家团队采用“陪伴式安全服务”的方式,将工作能力和执行细节融入项目开发流程,让项目组人员不用付出额外精力,即可轻松掌握关键的安全控制方法。
总体呈现:
1)具备专业可落地的SDL流程体系
默安科技SDL/DevSecOps全流程解决方案,不只是交付一套SDL流程、制度和实施指南,还有当前业界最完整的开发安全工具链作为能力支撑,包括雳鉴系列的STAC、SAST、IAST、SCA等工具,以及更细层面的SDL流程执行配套表单工具,如《安全功能测试用例》等。
默安科技SDL流程表单工具由默安科技开发安全专家团队在实际SDL项目实施过程中进行不断总结和沉淀形成,覆盖了大量常见的业务系统场景下的威胁模型,为用户开发安全体系的建立和落地奠定了坚实基础。
针对有轻量化落地需求的用户,还可支持定制基于雳鉴系列检测平台和上线安全检测服务的轻量化落地SDL体系和流程,以满足多元化的用户研发安全需求。
2)提供专业多元化的SDL运营服务
默安科技开发安全团队深度参与用户安全开发体系建设,通过“陪伴式安全服务”的方式对用户开发流程中相关员工进行多元化的安全赋能,提供工具使用、安全技能与意识培训。包括:对用户研发团队中的关键岗位展开各类工具使用场景、使用方法的培训;针对不同岗位,对安全需求、安全设计、安全编码、安全测试等关键阶段必须具备的安全能力展开相应的技能培训;针对全体员工进行安全意识、开发安全流程等通识性培训。
3)业内首创的零打扰安全介入
默安科技开发安全专家团队的轻量化介入,为整个业务交付起到画龙点睛的作用,在不更改原有工作流程、不增加相关人员工作量、不更改其工作方式的基础上,实现更为有效的安全落地。
方案案例及效果
1.屡获国际国内权威机构认可
默安科技的雳鉴IAST获得了很多客户与第三方机构的推荐与认可。2021年,雳鉴IAST被全球咨询机构Gartner推荐为IAST代表厂商,入选应用安全技术成熟度曲线报告;作为唯一中国厂商连续两年(2020年、2021年)入选Gartner软件成分分析市场指南(雳鉴IAST支持对项目中的第三方库进行检测,可帮助用户迅速定位存在安全风险的软件成分和项目);同时在关键信息基础设施技术创新联盟等单位主办的2021网信自主创新优秀产品评选活动中荣获“盘古奖”。默安科技也被第三方研究机构数世咨询认可为DevSecOps领域的主力玩家。
2.参与多项标准与技术文章编写
默安科技安全开发专家团队由16年以上安全从业经验、深耕甲方安全开发一线,多个成功落地项目实践经验的多名资深安全专家组成,深度参与《软件安全开发能力要求》、《网络安全等级保护 应用软件安全开发管理评估指南》、《交互式应用安全产品质量规范与评价方法》、《安全开发能力测评标准》等多项标准的编写。团队负责和参与的SDL/DevSecOps项目逾百个,在政府、央企、银行、保险、证券、高端制造、房产、互联网等领域有着十分成熟的落地经验和实践成果,协助企业建设完整的开发安全管理体系和技术体系,帮助企业从源头上避免安全事故,并满足国内外法律法规的安全要求,著有《企业安全开发体系(SDL)建设指南》,受到广大客户和业内人士的青睐和推荐。
3.安全团队具备多个成功落地实践经验
1)某头部证券2021开发安全体系建设方案。
该券商是中国证券行业长期、持续、全面领先的综合金融服务商,跨越了中国资本市场发展的全部历程和多个周期,在行业中具有全方位的领先地位。
随着业务的蓬勃发展,敏捷开发与交付成为常态,这也带来了安全风险:该券目前已构建商庞大复杂的业务网络、众多的数据中心、分支机构及营业部,如何保证如何在迅速交付、便捷上线的基础上保证系统的开发安全,同时满足国内外合规要求,提升整体开发安全能力。
基于以上安全风险和问题,默安科技结合自身的SDL/DevSecOps全流程解决方案,为该券商设计构建了2021开发安全体系建设方案。利用定制化的默安雳鉴STAC及IAST工具,对项目场景和软件架构可能面临的安全风险进行多维度威胁评估,针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案自定义功能,以最小成本解决安全风险,采用代码数据流与请求结合进行漏洞检测的模式,贯彻安全左移思路,将风险发现和修复工作在早期即完成,可以有效控制“带病上线”的风险,为用户测试中心实现安全赋能,并向自动化安全测试的建设目标推进。在方案落地的全流程中,持续融入轻量化的专业安全开发人员服务,尽可能地做到零打扰安全介入。
在上图中,该券商2021开发安全体系建设方案实施后,从环境管理、安全测试、安全部署、教育与指导等层面来看,其业务系统开发体系的安全能力均得到了较大的提升与优化,极大地提高了安全测试的自动化程度,实现漏洞风险可视化、可管理化以及可数据化。与此同时,关键性安全专家的轻量化介入,为整个业务交付起到了“画龙点睛”的作用,既没有因为人工的参与而影响敏捷性,也覆盖和完善了自动化系统难以发现的逻辑和业务风险。
该券商2021开发安全体系建设方案凭出色的方案设计及落地实践效果,荣获信通院评选的首批“云安全守卫者计划”优秀案例。
2)某大型房地产集团开发安全体系建设方案。
该房地产集团是国内领先的城乡建设与生活服务商,连续三年跻身《财富)世界500强。
随着该集团向科技型公司的转型,内部的各种应用系统日益丰富,应用系统安全、数据安全问题随之产生,将安全漏河消灭在应用系统上线之前是亟待解决的问题。
默安科技基于“平台+工具+服务”一体化可落地的安全开发生命周期解决方案,结合多个行业的实践经验,以自主研发的“雳鉴”软件开发金流程安全框架为基础,以专业的安全服务为保障,以该集团内部客户平台、创新实验室、核心平台、协同办公等重要系统为重点,对其应用系统开发流程进行多元化的安全赋能。
通过对试点项目的重点实施,结合集团应用开发现状,优化了内部应用系统的安全开发规范和细则矩阵;通过定制化的培训与赋能,提升了测试人员在业务逻辑及数据加密最面的安全意识和安全能力;结合集团实际情况编写该集团应用安全未来整体规划方案,使其内部的应用安全机制和能力都提升到了新的高度。
3)某跨国软件企业“一站式”开发安全解决方案。
该软件企业创立于2002年,是专业从事旅游网络营销系统的技术服务公司,员工分布于达拉斯、上海、北京、伦敦、东京和巴塞罗那等地。该软件企业的产品如数据对接服务、数字营销服务、内容服务等为全球酒店业提供解决方案,且拥有全部产品的自主知识产权。
由于该企业用户遍布全球,每日数据处理量庞大,因此自主研发的应用系统不但需要满足国内的《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》等法律要求,还需遵守欧盟《通用数据保护条例(GDPR)》、《支付卡行业数据安全标准(PCI DSS)》等国外法律。如何规避合规风险和高额罚款是该企业面临的关键挑战之一。此外,该企业还存在在编码、测试阶段缺少相应的安全检测工具,上线前缺少安全评审、漏洞验证等工作,上线运维阶段缺少持续的风险监测等现状,导致漏洞发现不够及时和完整,开发安全检测力度不够,开发安全能力仍有提升空间。
默安科技通过一站式的开发安全解决方案,为该企业提供完整开发安全工具链,并配备全方位专家组,包括咨询专家、安全开发建设专家、攻防专家及方案专家,以“陪伴式服务”的方式帮助该企业在满足合规要求的同时,省心省力地完成全面开发安全能力的建设。在开发阶段全量赋能,提供完整工具链,根据白盒、黑盒、灰盒测试方法,提供默安科技的SAST、DAST、IAST,及SCA工具,覆盖软件开发过程中的编码、测试和上线等关键阶段。在应用系统的需求设计阶段,默安科技将数据安全融入前期的威胁建模和安全设计工作中,提出具体的数据应用场景风险和技术控制要求。在编码测试阶段,默安科技的雳鉴IAST遵循个人信息保护法、欧盟GDPR、PCI DSS等法规标准,帮助该企业快速检测应用系统中不合规的个人隐私数据处理行为,迅速定位存在隐私泄露风险的漏洞地址和代码位置,帮助开发人员快速定位和复现问题。雳鉴IAST还提供详细的风险修复建议,供开发人员参考或提供专业安全服务,协助并指导开发人员完成漏洞修复。
在该软件企业的开发安全体系建设工作中,开发安全的全流程建设已覆盖关键业务系统及相应的项目组,并完成开发安全建设全流程闭环。对于关键业务系统,通过一期建设,基本覆盖SDL安全开发生命周期理论中的20余项工作内容。对于漏洞的发现和处置,能做到“安全需求、安全设计、安全编码、安全测试、安全验证、安全上线”等各个环节的及时发现、处置和闭环,跟踪漏洞全生命周期。满足国内外监管要求,遵循主要的数据安全法律法规,避免因违规带来的行政处罚。大幅提升员工安全意识、关键业务项目组成员的安全开发专业能力,包括漏洞的发现与处置、安全编码习惯等。具备完善的开发安全管理规范并推动落实。
方案未来展望
工信部在公开征求对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》的意见中,将“加强共性基础支撑”列为三年行动计划的重点任务之一,其中具体任务就包含:加快发展源代码分析、组件成分分析等软件供应链安全工具,提升网络安全产品安全开发水平。
当前,随着全球软件供应链安全事件频发,软件供应链安全逐渐成为业界关注焦点,也成为影响国家重要信息系统安全与关键信息基础设施安全的重要因素,以及网络安全保障体系和能力建设的重要环节。软件供应链安全治理的落地问题本质可以理解为安全左移的程度。在架构评审即融入安全非常重要,安全与研发部门需要深入合作、共同面对和解决问题。安全左移是安全与研发的责任共担,而非将安全责任转移到研发部门。因此开发安全体系的一大特点应该是“陪伴式交付”,并且安全交付没有终点,而是一个不断改进和迭代的过程。安全体系建设过程中,软件供应链安全是软件设计、需求评审、研发、上线全流程中必不可少的环节,需要安全与业务共同合作。其中也包括SDL,贯穿软件开发和运营全生命周期。软件供应链安全离不开SDL安全开发生命周期的全流程建设。默安科技是国内开发安全和DevSecOps领域的先行者,在软件供应链安全领域有着丰厚经验和技术积累。未来也将继续在此领域深耕,为行业和客户提供更全面的SDL/DevSecOps全流程解决方案和服务。
另一方面,2021年9月1日开始施行的《关键信息基础设施安全保护条例》中明确要求关基运营者采购网络产品和服务时应保障关键信息基础设施供应链安全,维护国家安全。《条例》中也明确规定安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。三同步原则对应用系统开发流程的全生命周期管理提出了更高的安全要求。
金融、能源、医疗、通信、高端制造等行业单位作为关键信息基础设施的运营者,肩负着保障国家关键信息基础设施安全稳定运行,维护数据完整性、保密性和可用性的重要职责,同时也面临着规划建设完善企业开发安全体系的压力。作为开发安全领域的先行者和领导者,默安科技凭借多年的实践经验,根据行业特性和特殊场景为用户量身定制了一套SDL/DevSecOps全流程解决方案,其根本落脚点在于协助用户建立具有自身特点的管理体系和技术体系,为用户规划完善的长期开发安全建设路线。未来,默安科技SDL/DevSecOps开发安全解决方案将继续通过通过采取项目实施前多个试点验证的方式,通过“陪伴式服务”,将工作能力和执行细节融入项目开发流程,以实际产生的安全效果和价值为证,帮助用户树立行业典型示范,对国内关键信息基础设施单位提质增效、转型升级发挥明显支撑引领作用。