海云安DevSecOps是指基于最佳实践形成的一套开发安全体系能力建设方案，具有安全体系易落地、平台易实施、检测能力易扩展、开发安全易管理的特点。它以安全检测工具链（如敏捷白盒、开源组件安全检测、灰盒、黑盒、渗透测试等）为探针，开发安全态势感知平台为安全管理枢纽，通过安全卡点机制作用于既有的DevOps研运平台。可在不减少敏捷度和开发者效率前提下，实现将代码安全性、系统安全性无缝、无感知地集成进IT和DevOps开发当中。

经过近两年在多家客户的应用实践，可实现安全需求研发周期较实施前缩短40%，按时发版率提升90%，线上业务安全问题数量降低60% 以上，有效提高了安全研发供给能力，支撑业务高质量发展。

方案背景

在全球信息技术的发展和中国金融行业十三五规划下，利用新型技术来促进复杂行业的变化，通过敏捷和精益的原理来交付价值和保证质量，打造敏捷组织，是实现业务与IT的敏捷协同，加速金融业数字化转型的关键举措。正是在这一背景下，金融机构、大型企业内部应用众多，为了快速响应客户需求，在竞争中占得先机，研发模式全面向DevOps转型，从而跟上产品和服务的高速迭代和持续改进的步伐。然而，这带来了一个新的挑战，企业如何确保高效的同时满足信息安全标准以及合规要求？海云安DevSecOps开发安全解决方案的出现，为客户解决了后顾之忧，很好了满足了客户敏捷快速、持续的开发安全需求。

方案目标

在深圳某商业银行原有的开发模式下，DevOps安全团队和持续交付团队独立运行，信息交互频繁且效率低导致质量难以保证，安全问题整改的计划外工作量大，部门之间相互掣肘，成为DevOps安全工作痛点。

海云安DevSecOps解决方案，通过帮助企业建设统一的开发安全运营管理平台，将白盒、灰盒和开源组件检测等安全检测工具链、其他安全测试数据、DevOps流水线进行hub集成管理，配合安全卡点、漏洞管理、数据统计等功能，实现自动化的源代码、组件和系统等多个层级的安全检测和质量门管控发版，帮助企业将安全检测前置到开发和构建阶段，从而实现更低成本和更高效率的解决安全问题，全面保障系统安全，协助开发团队按时完成新版本发布工作。

方案特点

针对企业内部开发安全部门较为普遍的“人手少，事务多”的痛点，业内首家提出“安全赋能，研发自治”理念，基于此理念打造了海云安DevSecOps，具有安全体系易落地、平台易实施、检测能力易扩展、开发安全易管理的特点。它以安全检测工具链（如敏捷白盒、开源组件安全检测、灰盒、黑盒、渗透测试等）为探针，开发安全运营平台为安全管理枢纽，通过安全卡点机制作用于既有的DevOps研运平台。可在不减少敏捷度和开发者效率前提下，实现将代码安全性、系统安全性无缝、无感知地集成进IT和DevOps开发当中。

方案业务流程图

实现功能展示

方案案例及效果

应用案例：某大型银行DevSecOps建设项目

背景：

作为金融科技巨头，该行拥有数千个子应用系统（总代码行数10亿级），子系统平均发版周期为20天，面临着信息系统多，代码量巨大，监管严、安全部门人手紧张等多方面挑战。急迫需要一套自动化能力强，检测能力强的安全开发管控平台和代码检测工具链对其安全开发提供有力支撑。

应用产品：

海云安源代码检测分析管理系统（SCAP）、海云安开源组件安全检测系统（OSCA）、海云安开发安全运营平台（SOP）

解决方案：

根据客户深度访谈交流，联合创新，打造了集自动化检测工具链（SCAP、OSCA等）、资源管理、威胁情报、开源治理、安全门禁、安全度量等一体的开发安全运营平台，打通开发安全管控平台与内部DevOps开发工具链，完成例如Git、SVN、Jenkins CI、工单系统等应用系统等对接，实现互联互通，有效保障客户研运平台中的开发项目100%经过安全检测，形成了一套DevSecOps体系建设最佳实践。

客户价值：

借助开发安全运营平台，安全人员可高效保障数千个子应用系统快速发版的安全性，并且大大减少了与研运体系的摩擦内耗，提升了发版效率，在数据驱动下的安全工作效能持续提高。

方案未来展望

未来，海云安DevSecOps方案产品将会更加开放：

在工具链层面，集众家之所长为客户所用；

在开发流水线工具方面，更多地预集成的常见商用平台/工具，提升应用交付效率；

随着开发安全测试技术的不断推陈出新，应用和发版频率快速增长，企业客户也越来越需要将这些分立的检测能力进行统一高效的管理，切实将检测能力与开发流程紧密结合，转变为代码内生安全性的提升，实现DevOps向DevSecOps的转化。