当前,越来越多的金融业务通过App的形式为用户提供服务,你能想到的、想不到的都可以通过App办理,日常生活消费、贵金属交易、短期借贷、区块链应用等服务都可以通过App获取。但因其金融属性,关乎用户的资金以及个人信息安全,所以其安全需求理应得到足够的重视。
由于金融App业务形态的多样性,对于具体业务安全需求的级别和程度也有所差异。然而,通常情况下,金融行业安全部门人力吃紧,无法给予每个业务进行针对性的安全指导和安全赋能,同时没有高效工具的情况下,也很难对其安全落地情况进行针对性的检查和保障。
助力金融安全赋能
针对金融行业前端业务的安全需求场景,梆梆安全安全开发管控平台,结合业务场景,通过持续沟通引导对应的安全需求,将其细化为安全基线,用以指导安全设计、安全开发,并规划制定配套的安全防护策略,自动化进行安全基线的落地执行与检查,帮助实现SDLC安全的落地。
按需定制,实现安全流程化管理
针对SDLC中的安全设计和安全开发,平台对包括编码规范、通用标准甚至监管要求等进行了技术化解读,将其转化为开发人员能够直接吸收和使用的方式加以呈现。平台提供安全需求的定制化勾选,让安全人员能够快速高效地配置出与业务场景相对应的安全标准。平台为安全开发提供按需定制的流程化管理,可根据业务进行灵活配置,对于安全需求程度高的业务制定更为完整的安全流程,对于安全需求程度相对较低的业务进行基础和必要的安全环节流程配置。
无规矩不成方圆,做好安全基线制定
平台着力于能够以简单却行之有效的方式帮助用户建立安全防线,根据不同业务线条制定相对应级别的防护策略,结合每个前端应用自身的结构定制化不同的防护侧重点。让应用保护真正落在关键之处、需要之处。
工欲善其事必先利其器,使用自动化检测快速提升安全审核效率
平台提供自动化的安全落地检查,为Android平台、iOS平台、Web应用提供安全情况摸底工具,帮助安全部门建设安全检测能力,为安全审核和安全把关提供支撑手段和数据。梆梆安全提供基于IAST的交互式检测能力,实现了自动化技术手段代替部分人工渗透测试,大幅提升了应用安全的检测效率。
授人以鱼不如授人以渔,组件库赋能安全
平台打破了传统的培训式赋能方式,帮助行业以安全基线能力库的方式形成能力积累,在项目实施过程中下发至相关人员的账号中,并对具体项目的基线的执行情况做落地检查。对于通用的安全能力,平台以组件提供的方式直接赋予开发人员,并开放给企业,形成能力组件管理库。
基于以上灵活可配置、高度自动化、直接赋能的方式,梆梆安全安全开发管控平台可以帮助金融行业高效实现大前端业务的安全管理和落地,根据业务的实际情况,分级分类管理,识别真正的核心安全诉求,针对性进行安全开发;同时解决了安全人力不足的问题,并实现企业安全能力的积累,快速赋予开发人员安全能力。
来源:freebuf.com 2019-10-14 14:01:57 by: 梆梆安全
请登录后发表评论
注册