“一站式”开发安全解决方案在跨国企业的成功应用 – 作者:默安科技

近年来，各类软件应用程序的脆弱点引发了全球大量安全事件。根据第三方权威调查显示，接近92%的已知安全漏洞都发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。CNVD数据显示，2020年安全漏洞数量创历史新高，其中应用程序漏洞占比超77%。国内在大型攻防演练期间更是爆出大量0day漏洞，涉及用户群体庞大的多个OA及财务系统。

如何在应用程序上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故，并满足国内外法律法规的安全要求，是摆在各企业及组织面前亟待解决的难题，而默安科技自主研发的完整“产品+服务+工具”SDL/DevSecOps全流程方案能够全面解决这一难题。

01 客户介绍

德比软件创立于2002年，是专业从事旅游网络营销系统的技术服务公司，约400人的员工分布于达拉斯、上海、北京、伦敦、东京和巴塞罗那等地。德比软件的产品如数据对接服务、数字营销服务、内容服务等为全球酒店业提供解决方案，且拥有全部产品的自主知识产权。目前，德比软件拥有超过全球24万家酒店数据，每月处理超过1000万间夜的订单。

02 面临的挑战

国内外监管严格

由于该企业用户遍布全球，每日数据处理量庞大，因此自主研发的应用系统不但需要满足国内的《网络安全法》、个人隐私保护法等法律要求，还需遵守欧盟《通用数据保护条例（GDPR）》、《支付卡行业数据安全标准（PCI DSS）》等国外法律。如何规避合规风险和高额罚款是该企业面临的关键挑战之一。

开发安全检测力度不够

例如在编码、测试阶段缺少相应的安全检测工具，上线前缺少安全评审、漏洞验证等工作，上线运维阶段缺少持续的风险监测等，导致漏洞发现不够及时和完整。

开发安全能力仍有提升空间

例如缺少防跨站注入等安全组件，缺乏持续的安全培训和漏洞的及时修复能力，整体抗风险能力亟待提高。

没有形成统一的开发安全管理规范

包括开发安全流程整体规范、应用安全设计规范、安全编码规范以及上线安全评审规范等。

03 默安科技提供的解决方案

默安科技通过一站式的开发安全解决方案，为该企业提供完整开发安全工具链，并配备全方位专家组，包括咨询专家、安全开发建设专家、攻防专家及方案专家，以“陪伴式服务”的方式帮助该企业在满足合规要求的同时，省心省力地完成全面开发安全能力的建设。

1. 全量赋能

（1）提供完整工具链

根据白盒、黑盒、灰盒测试方法，提供默安科技的SAST、DAST、IAST，及SCA工具，覆盖软件开发过程中的编码、测试和上线等关键阶段。

（2）提供工具使用、安全技能与意识培训

• 默安科技专家对该企业研发团队中的关键岗位展开各类工具使用场景、使用方法的培训；
• 针对不同岗位，展开相应的技能培训，包括安全需求、安全设计、安全编码、安全测试等关键阶段必须具备的安全能力；
• 另外针对全体员工进行安全意识、开发安全流程等通识性培训。

2. 合规建设

（1）在应用系统的需求设计阶段

默安科技将数据安全融入前期的威胁建模和安全设计工作中，提出具体的数据应用场景风险和技术控制要求，包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。

（2）在编码测试阶段

默安科技的雳鉴IAST遵循个人信息保护法、 欧盟GDPR、PCI DSS等法规标准，帮助该企业快速检测应用系统中不合规的个人隐私数据处理行为，迅速定位存在隐私泄露风险的漏洞地址和代码位置，帮助开发人员快速定位和复现问题。

雳鉴IAST还提供详细的风险修复建议，供开发人员参考或提供专业安全服务，协助并指导开发人员完成漏洞修复。

3. 采用“先试点后推广”，稳妥推进

根据开发项目进度，建立多个试点项目，以实际的安全效果和价值赢得该企业开发团队的信任；同时，默安科技安全专家采用“陪伴式服务”，将工作能力和执行细节融入项目开发流程，项目组人员不用付出额外精力，即可轻松掌握关键的安全控制方法。

4. 开发安全长期运营

默安科技还为该企业规划了完善的长期开发安全建设路线，重点关注开发安全建设的长期效果。同时，配备熟悉企业内部环境的固定专家组，除了提供开发安全服务，还会跟踪评估不同建设时期的成熟度等级，持续提出改进建议。

04 为客户带来的核心价值

在为期半年的开发安全体系建设工作中，开发安全的全流程建设已覆盖关键业务系统及相应的项目组，并完成开发安全建设全流程闭环。

• 对于关键业务系统，通过一期建设，基本覆盖SDL安全开发生命周期理论中的20余项工作内容。
• 对于漏洞的发现和处置，能做到“安全需求、安全设计、安全编码、安全测试、安全验证、安全上线”等各个环节的及时发现、处置和闭环，跟踪漏洞全生命周期。
• 满足国内外监管要求，遵循主要的数据安全法律法规，避免因违规带来的行政处罚。
• 大幅提升员工安全意识、关键业务项目组成员的安全开发专业能力，包括漏洞的发现与处置、安全编码习惯等。
• ​具备完善的开发安全管理规范并推动落实。

开发安全全流程工作概览

05 客户评价

“与默安科技的合作整体愉快，服务专业，响应及时。默安方案自带全面的工具链，也能提供贴心周到的服务，这是我们一开始就看好的优势。在整个开发安全项目建设过程中，很多项目组的成员反映很有参与感，但对原有工作的影响又非常小。非常感谢默安团队，也期待后续更深入的合作！”

——德比软件架构与基础设施副总裁

来源：freebuf.com 2021-04-08 14:13:01 by: 默安科技