爱加密实力入选《DevSecOps能力指南》 – 作者:爱加密123

近日，第三方调研与咨询机构数世咨询发布了DevSecOps工具能力点阵图及《DevSecOps能力指南》，北京智游网安（爱加密）凭借领先的技术优势、丰富的实践经验强势入选。

爱加密具有多年行业安全开发经验的积累及众多安全专家的知识沉淀，针对安全开发面临诸多挑战，可提供以企业应用安全开发全周期为基础，以安全基线、安全开发指引、资产管理、开源组件漏洞扫描、源代码审计、安全运维管理等为核心并集成第三方安全工具的安全开发管控平台，从而帮助客户实现安全开发知识化，安全管理统一化、安全运营标准化。以下为入选案例详情：

01

场景介绍

某银行D成立已有二十余年，是某地级城市直属的国有控股股份制商业银行，现有员工一千多名，下设支行超过50家。网点遍及该市及各县区，提供现代金融服务。客户DevSecOps需求之前的开发维护管理流程繁琐复杂，各个环节相互依赖，人工管理效率低下，无法有效及时地对开发流程进行管控，需要更高效的开发模式。而在安全方面，D银行缺少安全威胁库、安全需求库、安全设计库、安全组件库、安全用例等开发安全管控所需的基础知识库建设和积累。因此，D银行在面对一个新的项目时，难以快速地进行威胁建模分析，进而无法形成安全需求乃至安全设计、安全用例等，即使转向更高效的DevOps开发模式，也很难保障开发软件的安全。另一方面，由于开发安全管控人才的缺乏，D银行对安全活动评价及审计的专业能力不足，无法确认安全的实施效果并进行有效改进。因此，D银行不仅需要一套新的更敏捷化的体系加速自己的开发，更需要一系列能够支撑这套体系的安全技术架构。同时，基于D银行自身的业务需求以及技术环境，通过知识库及技术措施的支持，自动化进行安全需求识别，生成安全设计及安全用例，并对测试中发现的安全问题进行闭环管理。

02

解决方案

爱加密在D银行的解决方案可以分为三个方面：

DevSecOps平台建设：

DevSecOps平台包含了各阶段流程的梳理、评审机制的建立、相关资源库的建设，通过数据接口收集各阶段安全数据、开发数据及漏洞样本，打造覆盖应用开发安全建设和使用全生命周期的智能安全管控平台。平台中的知识库具有丰富安全威胁库、安全基线库、安全需求库、安全设计库、安全组件库、安全用例等，并有机制保障能定期更新升级。适用范围能够覆盖Android、iOS、Web、后台应用等。同时，兼具针对移动端的自动化检测平台，以及集成网络扫描、主机扫描和数据库扫描为一体的基于爬虫引擎的扫描工具。对上线后的app及web系统还有持续的风险态势检测，及时发现运行过程中的威胁，并将威胁进行上报，上报后的威胁情报，建立威胁情报库，情报库后续持续优化完善整体开发过程的知识库，不断的丰富知识库的覆盖全面度和准确度。

安全工具融合：

爱加密将D银行现有的安全工具进行整体融合，嵌入到开发的各个环节，使开发者在开发过程中自动对代码进行安全扫描，提示开发者代码的安全问题，及时让开发者进行修改。

在系统提交测试环节时，自动化检测系统会分析系统类型，提交到不同的系统中进行自动化检测，同时检测每个系统的安全检测基线，对于不满足基线要求的系统自动打回要求修改等。安全工具融合后，不再作为独立的安

全系统存在，而是自动的嵌入到整体流程中，在流程的流转过程中进行自动的安全处理，并将发现的问题进行反馈整改等工作。

安全咨询建设：

爱加密基于D银行的实际情况制定安全开发生命周期管理体系，并结合试运行情况进行优化调整。通过构建通用威胁模型，从开发生命周期的角度制定系统开发全生命周期安全控制流程，明确开发生命周期各阶段中安全控制工作的介入时间点与所需完成的工作内容，制定IT项目安全评审流程，建立安全控制点和控制活动，构建安全评审各阶段工具及模板，与现有IT 管理流程和变更流程融合，将安全控制要求和控制活动植入现有流程中，补充完善应用安全开发规范和移动安全开发规范，应对安全漏洞的代码规范，补充完善安全需求测试用例，补充完善代码审计工具中安全规则。

03

安全能力价值

爱加密解决方案为D银行提供了以下的安全价值：

• 基于D银行现状调研评估，针对银行现有的信息安全隐患与问题进行分析、治理，提供有效解决方案。

• 开发和集成各种安全工具，减少人工检测评审，通过自动化能力提高应用开发的安全性，降低成本。同时，基于一个平台对安全工具进行统一化管理。

• 安全需求完善，从相关安全标准、行业法规、监管需求和业内常见最佳实践等多方面进行综合完善；针对与来自行业、国家监管架构、市场要求及系统应用对应业务要求分析，确定系统或软件的安全需求。

• 安全编码，针对系统源代码从程序结构、系统脆弱性以及安全缺陷等方面进行安全审查及检测，指导开发人员采用安全的编码方法，制定安全编码规范和标准。

• 实现开发安全平台内的安全数据集成、分析和安全指标可视化。

04

客户评价

通过对Devsecops平台的建设及持续的咨询及驻场服务，目前该平台已在D银行完整的执行，帮助其解决了以下痛点问题：1、开发维护管理流程繁琐复杂，各个环节相互依赖，人工管理效率低下，不能有效、及时进行管控。2、缺少开发安全管控所需的基础知识库建设和积累，如：安全威胁库、安全需求库、安全设计库、安全组件库、安全用例等。3、面对一个新的项目不能快速的进行威胁建模分析，不能快速形成安全需求乃至安全设计、安全用例等，效率低下成为推进的阻力。4、缺乏开发安全管控的专业人才，对安全活动评价及审计的专业能力不足，导致无法确认实施效果及进行有效改进。

来源：freebuf.com 2021-05-14 14:47:33 by: 爱加密123