“自上而下”统一安全观念:企业一般的业务流程,是由业务部门提出需求,产品人员基于需求做出相关设计,再和研发进行沟通做出成品。因此,当安全融入到这个流程中时,A公司选择先和业务部门沟通,明确安全合规要求以及安全隐患对业务的影响;再通过基于安全的业务需求,和产品部门沟通安全设计——在业务部门和产品部门都接受了安全的融合后,研发和运维也就自然能推动安全的落地。
因此,在A公司的DevSecOps落地过程中,不仅仅是企业管理结构的“自上而下”的推动,更是企业自身内部业务流程上下游之间的“自上而下”推动。
提出规范:在确定将安全融入开发流程后,需要制定相应的规范:具体哪些代码是违规的、哪些漏洞是需要修复的、开发的程序都应该遵守哪些规范等等。没有相对应的规范,修复行为就会显得很唐突,无据可依。因此,企业的安全规范不仅需要制定,更要确保让业务、产品和研发部门知晓,并严格遵守。
安全工作责任化:在确定规范后,需要将不同职位的工作责任化,确定业务、产品、研发需要履行的安全责任,确保出现安全问题后,能够追溯到责任方。同时,将工作职责文档化输出,根据不同职位的具体工作内容和业务场景,简洁、扼要地明确各职位需要完成的安全要点。
安全工具的集成:默安科技根据企业C现有的Jenkins开发管理流程,将自身的SAST与IAST整合到现有工具链中,完善敏捷开发平台的安全管理,为开发、测试和安全管理人员提供自动化工具,实现代码问题提前发现、及时改进与闭环跟踪。
开发安全项目知识转移:默安科技还协助企业C根据开发安全项目成果,建设文档管理系统,统一管理各类制度、技术规范、项目材料,提升内部团队沟通协作效率。同时,组织相关开发、安全人员进行针对性的安全培训赋能,培训内容包括开发安全意识、安全设计与编码、安全需求评估等,帮助其提升安全开发能力。
满足国家网络安全法、等级保护制度关于主机、数据、应用安全的合规监管要求;
协助建立开发安全管理体系,细化立项、需求、设计、编码、测试、上线各阶段的开发安全工作流程与职责,规范执行开发安全设计、安全编码与检测、提升应用安全防护能力,保障业务安全性和可靠性;
将安全漏洞发现前置到编码和测试阶段,不仅提升了系统安全性,还极大地降低安全修复成本;
在对现有业务影响最小化的前提下,统筹建设、合理规划,完成安全工具平台建设,实现安全漏洞自动化的发现与线上闭环管理,提升了开发团队的工作效率。
DevSecOps平台建设:DevSecOps平台包含了各阶段流程的梳理、评审机制的建立、相关资源库的建设,通过数据接口收集各阶段安全数据、开发数据及漏洞样本,打造覆盖应用开发安全建设和使用全生命周期的智能安全管控平台。平台中的知识库具有丰富安全威胁库、安全基线库、安全需求库、安全设计库、安全组件库、安全用例等,并有机制保障能定期更新升级。适用范围能够覆盖Android、iOS、Web、后台应用等。
同时,兼具针对移动端的自动化检测平台,以及集成网络扫描、主机扫描和数据库扫描为一体的基于爬虫引擎的扫描工具。对上线后的app及web系统还有持续的风险态势检测,及时发现运行过程中发的威胁,并将威胁进行上报,上报后的威胁情报,建立威胁情报库,情报库后续持续优化完善整体开发过程的知识库,不断的丰富知识库的覆盖全面度和准确度。
安全工具融合:爱加密将D银行现有的安全工具进行整体融合,嵌入到开发的各个环节,使开发者在开发过程中自动对代码进行安全扫描,提示开发者代码的安全问题,及时让开发者进行修改。
在系统提交测试环节时,自动化检测系统会分析系统类型,提交到不同的系统中进行自动化检测,同时检测每个系统的安全检测基线,对于不满足基线要求的系统自动打回要求修改等。
安全工具融合后,不再作为独立的安全系统存在,而是自动的嵌入到整体流程中,在流程的流转过程中进行自动的安全处理,并将发现的问题进行反馈整改等工作。
安全咨询建设:爱加密基于D银行的实际情况制定安全开发生命周期管理体系,并结合试运行情况进行优化调整。通过构建通用威胁模型,从开发生命周期的角度制定系统开发全生命周期安全控制流程,明确开发生命周期各阶段中安全控制工作的介入时间点与所需完成的工作内容,制定IT项目安全评审流程,建立安全控制点和控制活动,构建安全评审各阶段工具及模板,与现有IT 管理流程和变更流程融合,将安全控制要求和控制活动植入现有流程中,补充完善应用安全开发规范和移动安全开发规范,应对安全漏洞的代码规范,补充完善安全需求测试用例,补充完善代码审计工具中安全规则。
基于D银行现状调研评估,针对银行现有的信息安全隐患与问题进行分析、治理,提供有效解决方案。
开发和集成各种安全工具,减少人工检测评审,通过自动化能力提高应用开发的安全性,降低成本。同时,基于一个平台对安全工具进行统一化管理。
安全需求完善,从相关安全标准、行业法规、监管需求和业内常见最佳实践等多方面进行综合完善;针对与来自行业、国家监管架构、市场要求及系统应用对应业务要求分析,确定系统或软件的安全需求。
安全编码,针对系统源代码从程序结构、系统脆弱性以及安全缺陷等方面进行安全审查及检测,指导开发人员采用安全的编码方法,制定安全编码规范和标准。
实现开发安全平台内的安全数据集成、分析和安全指标可视化。
作者:
技术应用分析师:潘颉阳
产业市场分析师:左晶
北京数字世界咨询有限公司,中国数字安全领域中立的第三方调研机构,以数字时代为背景,提供网络安全行业的调查、研究与咨询服务。
联系邮箱:dw@dwcon.cn