SOLUTION
解决方案
DEMAND
背景需求
- 系统复杂性:随着软件应用的复杂性不断提高,软件系统的漏洞和安全问题也越来越多软件安全管理需要综合考虑不同方面的问题,包括开发、测试、部署、维护和更新等各个环节。
- 开源软件使用增长:近年开源软件在应用开发中源代码的占比已经达到了60-90%,在javascript语言中,开源软件调用可传递库的比例高达1:8,不仅是开源软件的安全漏洞风险问题,知识产权问题更是极大地增加软件供应链的安全威胁。
- 管理标准化:软件安全管理需要遵循一定的管理标准和规范,如OWASP TOP 10ISO/IEC 27001等,以确保软件的安全性和可信度。
人才短缺: 软件安全管理需要专业的人才进行管理和维护,但是目前行业内专业人才短缺,企业和政府机构难以招聘到具有相关技能和经验的人才。 - 安全意识不足:很多人对软件安全的重要性缺乏足够的认识和理解,容易忽略软件安全问题,导致安全风险的增加。成本压力: 软件安全的建设和运营需要投入大量的资金和人力,对企业和政府机构的财务压力很大。
SOLUTION ARCHITECTURE
方案架构
软件安全管理解决方案具有以下主要功能特点:
- 统一流程化体系化数字化管理平台
- 采用多种类引擎技术,实现分布式部署,集中管理安全检测与分析策略。
- 产品集成黑、白盒检测引擎,实现安全检测结果关联分析。
- 默认支持检测应用安全缺陷类型900多种;检测框架、中间件、开源安全漏洞10万+;超过4百万开源组件安全漏洞信息,可扩展。
- 对开源软件的风险,许可证安全分析,实现开源软件安全管理,弥补市面上大多数产品不具备开源组件风险分析能力的问题,检测风险更加全面,规避了法律风险
- 源代码+应用系统+依赖环境检测的机制,实现对开发代码、开源框架、依赖中间件、配置文件等全面检测。实现持续动态应用安全风险评估、发现到修复闭环跟踪监控。
- 支持对Web应用、RESTful API、手机APP,解决当前绝大多数应用场景的安全需求,安全缺陷发现更加精准。
- 可自定义检测规则,集成有等保合规标准、银监会合规标准以及ISO27001、PCI合规要求,检测结果可方便的提供软件开发安全合规符合性、有效性分析数据。
IMPLEMENTATION ACHIEVEMENTS
实施成果
- 建立项目全生命周期各项评估细则,标准化风险评估流程
- 形成风险评估基线,构建自主可控的风险评估能力
- 风险评估管理的活动覆盖信息系统全生命周期,深入信息系统的建设及维护的各阶段
- 建立自动化风险评估管理系统,以及风险评估操作指引,覆盖风险评估工作涉及的各部门、岗位、人员及操作环节,使风险能够被识别、评估、计量和控制
DEMAND
背景需求
PROJECT CONTENT
项目内容
-
提供研发中心使用,软件测试人员登录,创建安全检测任务
-
开发人员本地上传代码,或从代码仓库制 定项目路径下载代码
-
调用扫描引擎执行安全检测 (可多引擎部署,多扫描任务调度)
-
扫描结果汇总,从综合管理平台查看扫描 结果和其它综合分析结果
-
基于项目对开发安全质量进行综合评估 可视化效果展示评估结果,出具评估报告
PROJECT VALUE
项目价值
• 制度规范建设
• 开发安全相关工作流程建设
• 开发项目试点运行
• 改进与优化
• 培训教育、宣导
工具与服务>>>软件安全监测
安全工具
• 静态应用代码安全检测
• 软件成份分析与安全检测,嵌入式系统、二进制代码
安全服务
• 渗透测试服务
• 代码安全审计服务
持续运营>>>软件供应安全治理
• 系统化线上采集软件安全检测数据、开发安全管理体系运行结果数据
• 建立软件资产台账,持续监测和消减所使用开源软件的安全风险。
• 实现项目生命周期各阶段的软件供应链安全风险监测、安全运营态势信息共享、安全合规管理的协同工作,以及安全能力评价
• 软件安全检测任务与执行全过程跟踪,监督安全修复、加固及复查流程执行状态和结果,自动评估安全管理绩效,形成软件供应链安全运营管理机制。
通过整个方案建设后,某大型金融机构大大提高了软件系统的安全性,避免了潜在的安全威胁和风险。
400-188-5255 
