安全开发一体化
和记官网根据安全开发生命周期领域多年的深入研究和分析,吸收了DevSecOps的思想,参考SDL相关方法论和成熟度模型的指导建议,结合自身在安全领域多年的经验及技术积累,打造了专门针对安全开发的产品,旨在帮助用户构建起完整、高效且高质量的安全开发体系,满足软件的安全性需求。
-
背景
软件作为数字经济的最重要的助推器之一,早已渗透到生活的方方面面。无论是微信小程序、支付宝订阅号、掌上/网上银行、外卖、购物、交流,还是云平台、操作系统、设备固件、数据库、工业控制系统,都离不开软件开发。
而云计算技术、大数据、物联网、移动互联网快速发展以及基础设施的完善、标准化和安全性能力提升,使得软件安全渐渐成了企业安全的突破口。然而对于企业而言,软件安全做什么、怎么做以及怎么推进都存在一些的困难和问题亟待解决。
-
简介
和记官网根据安全开发生命周期领域多年的深入研究和分析,吸收了DevSecOps的思想,参考SDL相关方法论和成熟度模型的指导建议,结合自身在安全领域多年的经验及技术积累,打造了专门针对安全开发的产品,旨在帮助用户构建起完整、高效且高质量的安全开发体系,满足软件的安全性需求。
核心思想
-
产品:以和记官网安全开发一体化平台等产品为代表
1.借助标准化、自动化的特点,以高效的方式构筑安全质量基准线,创建共同安全目标。
2.借助产品/工具推进信息化、数据化,实现风险实时可视,及时发现盲点 -
服务:以SDL咨询规划、SDL实践等服务为代
1.以人的创新性构筑符合企业现状的规划,推进产品实施、团队协作。
2.以人的创新性覆盖非典型案例(产品无法覆盖),推动非典案例进行标准化。
3.以人才为基石,构建知识和培养体系,有效实施安全。
收益
安全开发标准化基线
使用天璇模块提供的安全需求与设计的能力,有效实现了安全需求知识沉淀,形成了安全需求、安全设计、安全测试的标准化知识库,通过与业务逻辑进行组合分析,可勾勒出任何一个业务功能需要满足的安全要求,也可随时赋能给任何一个研发项目或者作为任何一个研发项目的安全验收标准。
安全开发自动化能力
通过设计标准化的输入输出以及调用方式平台支持封装各类的安全工具,赋予了自动化的能力,大幅度降低了工具使用的门槛,又能将现有的成熟的安全产品的安全能力结合到安全开发体系中,使得效率大幅度提升,同时也强化了安全基线。
安全开发数据化
通过统一收录各类安全工具的检测结果并进行归一化处理,为分析安全数据提供了强有力的保障。同时对开发相关的各类资产进行统一的管理和风险分析,有效降低整体安全风险。
安全开发闭环
产品通过安全需求和漏洞处理的双闭环机制保障软件安全。与一般平台内闭环不同的是,漏洞处理闭环主要复用了软件研发的缺陷管理流程工具,快速有效地接入到研发体系中,同时也降低了对研发团队地冲击。