2020年RSA大會於2月24日至28日在美國舊金山召開。有著“全球網絡安全風向標”之稱的RSA創新沙盒中,入列十強的創新型安全廠商中,不乏聚焦在應用安全領域的身影,與開發安全相關的廠商BluBracket和ForAllSecure,都將更好地幫助用戶落地DevSecOps作為自己產品的核心價值之一。
據悉,RSAC2020組委會收到的2400 份世界網絡安全專家提交的演講申請,根據申請者提交議題的彙總整理和分析,發佈2020年網絡安全行業10個趨勢,“實現產品設計、開發和運營的安全”作為第二熱門的趨勢,僅次於作為大會主題的“人為因素”。這是全球網絡安全專業人員對2020年乃至今後行業發展的判斷。
作為左移開發安全的先行者,“上醫治未病”是默安科技DevSecOps產品線的主要理念。漏洞是整個安全博弈的核心,默安科技的體系化產品能夠幫助客戶在應用上線前消滅高危漏洞、業務安全風險等在內的安全問題,做到應用不帶病上線,從源頭上根治安全問題。
默安科技DevSecOps解決方案一覽
默安科技在業內率先推出一套擁有完整自研“服務+工具+平臺”的安全開發全流程方案。
該方案能夠與DevOps流程無縫對接,與代碼倉庫、Jenkins平臺、Bug管理平臺(Jira等),以及測試環境實現集成。SAST 模塊和 IAST 模塊均可與 CI/CD 平臺集成;SAST 模塊漏洞檢測引擎通過與代碼倉庫集成自動化拉取代碼並進行代碼掃描,覆蓋編碼階段的安全問題;IAST模塊通過收集CI/CD平臺發起的自動化功能測試流量,對流量進行分析和漏洞檢測,覆蓋測試階段的安全問題;安全風險通過 API 輸出到CI/CD 平臺或Bug管理平臺,與平臺緊密結合。
其中IAST模塊挖掘出的真實漏洞比傳統漏洞掃描工具多50%;方案也支持軟件成分分析(SCA),能發現第三方組件的安全問題;並且具備低誤報的業務邏輯漏洞檢測能力。該方案目前已經在金融、互聯網、智能製造、電力能源等領域的客戶側獲得了良好的口碑。
落地案例(一)
某股份制城市商業銀行
案例背景
目前在全國範圍內已擁有10多家分行,300多家營業網點,員工人數達8000人,服務覆蓋長三角區域。開放銀行是該銀行主要業務之一,基於互聯網場景獲取,利用開放API技術與各類線上平臺合作,實現支付、金融產品或其他開放服務,使得業務風險敞口更多,拉長了整個風險管理的鏈條,銀行在業務上線前面臨的安全責任與日俱增。
需求與痛點
◆ 互聯網業務使安全面臨更高挑戰;
◆ 面臨API技術窘境,數據難爬取;
◆ 過度依賴人工排查;
◆ 對交付質量管理嚴格,安全管理成本高。
方案內容
◆ 默安“服務+工具”的開發安全流程方案
方案價值
◆ 代碼數據流檢測模式突破“API窘境”
通過代碼數據流模式收集功能測試流量來觸發漏洞檢測,可覆蓋加密、驗證碼等一次性接口,解決了傳統爬蟲的“API窘境”。
◆ 自動化安全測試,滿足行內漏洞檢測範圍
解決通用漏洞測試覆蓋不全的問題,儘早發現系統中存在的通用類漏洞,規避了很多安全風險。
◆ 精準發現漏洞,實現安全風險0誤報
通過靂鑑IAST在開發測試中建立安全測試環節,有效地形成安全閉環,快速的發現漏洞、定位安全風險,實測安全漏洞0誤報,降低了安全測試難度。
◆ 可視化管理,為軟件開發安全實現賦能
通過可視化統一管理界面,幫助安全部門和測試部門建立橋樑,清晰展示項目的安全測試和發現漏洞的情況,並對漏洞的修復情況進行跟蹤。
落地案例(二)
某上市企業(製造業)
案例背景
該公司是一家專注於健康飲食電器研發、生產和銷售的上市企業。隨著技術的變革,越來越智能的小家電已經成為物聯網時代的家電獨角獸,變成人們生活中重要的一部分。作為國內主流品牌,該公司業務量與日俱增,開發過程中隱藏的安全隱患亟待解決。
需求與痛點
◆ 物聯網時代小家電業務與日俱增,安全風險高;
◆ 安全測試流程和規範亟待優化;
◆ 解決業務帶病上線的問題。
方案內容
◆ 默安“服務+工具”的開發安全流程方案
方案價值
◆ 通過IAST在開發測試中建立安全測試環節,取代了人工滲透環節,幫助企業在開發過程中快速發現漏洞、查出安全問題,做到漏洞0誤報;
◆ 建立了一套研發過程的安全規範,有效的在工作環節形成安全閉環,滿足了研發團隊業務安全自查的需求;
◆ 在安全測試環節,默安技術支持團隊在出現問題後第一時間響應,得到客戶方一致認可。
落地案例(三)
大型集團(房地產行業)
案例背景
該集團成立於1984年,經過三十多年的發展,成為國內最大的住宅開發企業之一,業務覆蓋珠三角、長三角、環渤海三大城市經濟圈以及中西部地區,共計50多個大中城市,銷售規模持續居全球同行業首位。
需求與痛點
◆ 規避集團智造業務全面上線前安全風險;
◆ 解決研發過程安全難推進落地的問題;
◆ 查出安全問題,保證交付質量。
方案內容
◆ 默安“服務+工具+平臺”開發安全的全流程方案
方案價值
◆ 統一的上線檢測流程,上線前為應用系統植入安全優勢;
◆ 漏洞的低誤報與高檢出,大大降低驗證成本和風險;
◆ 0門檻、無侵入式的安全檢測,打破研發與安全的組織邊界;
◆ 研發安全能力整體邁上一個嶄新的臺階。
特別值得一提的是,該方案入選了產業媒體數字觀察發佈的《2018企服案例TOP50》榜單。
落地案例(四)
某省級菸草公司
案例背景
該公司主要對省所屬企業的生產、供應、銷售、進出口業務和對外經濟技術合作實行集中統一經營管理。其正在建設統一經營管理平臺,這個平臺將把原來分散在各地市的菸草銷售經營業務統一到省公司集中管理。該公司自身沒有研發團隊,所有的系統都有外部供應商開發。
需求與痛點
◆ 業務和數據更集中,安全責任增大;
◆ 全新技術架構在安全、穩定性上的考量仍需優化;
◆ 業務架構對互聯網高度開放,需嚴格杜絕帶病上線,尤其是可能危及核心業務的高危漏洞;
◆ 外包供應商的安全開發能力不足,對系統交付前後的安全性無法提供有效保障。
方案內容
◆ 默安“服務+工具+平臺”開發安全的全流程方案
方案價值
◆ 正式系統上線後滲透測試結果為0漏洞,極大提高系統的安全性;
◆ 基於項目經驗,針對客戶實際情況,輸出了切實可行、規範有效的安全開發管理體系;
◆ 建立包含外包場景的全新SDL體系,包括開發管理手冊、供應商安全開發管理規範、SDL安全檢測協作平臺等。
落地案例(五)
某信息化服務商(電力行業)
案例背景
該服務商是一家面向電力系統提供專業的電力行業信息化,及通信應用解決方案、產品和服務的綜合企業,服務涵蓋電網、電廠等多個行業。
需求與痛點
◆ 交付項目安全要求高;
◆ 缺乏安全測試工具和規範;
◆ 在業務上線前排查安全問題。
方案內容
◆ 默安“服務+工具+平臺”開發安全的全流程方案
方案價值
◆ 在開發測試中建立安全測試環節,有效地形成安全閉環,滿足研發團隊自主安全測試需求,降低安全技術規範的合規門檻;
◆ 快速的發現漏洞、定位安全風險,細化了安全部和各研發團隊的安全分工,節約了人力成本,提高了工作效率;
◆ 實測漏洞0誤報,實現安全風險的可視化,解決了很多實際的安全問題。
閱讀更多 杭州默安科技 的文章
