數(shù)字化轉(zhuǎn)型浪潮下，軟件研發(fā)安全的重要性毋庸置疑。

據(jù)第三方權威調(diào)查，接近92%的已知安全漏洞發(fā)生在軟件應用程序中，且應用中每1000行代碼至少出現(xiàn)一個業(yè)務邏輯缺陷。

在近年來如火如荼的攻防演練中，應用程序成為最易被攻破的對象之一。

《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》明確“系統(tǒng)建設與安全建設同步規(guī)劃、同步建設、同步運維/使用”的“三同步”原則，對應用系統(tǒng)開發(fā)流程的全生命周期安全管理提出更高的要求。

同時，如何輕松流暢地落地SDL/DevSecOps依然是普遍痛點。放眼望去，市場上開發(fā)安全工具種類和品牌繁多，但不同品牌不同類型的單點工具“各自為戰(zhàn)”，開發(fā)安全數(shù)據(jù)“孤島”現(xiàn)象凸出，各個研發(fā)項目無法便捷地管理不同階段的安全問題，一款能夠有效管控研發(fā)流程與安全風險的統(tǒng)一平臺成為眾多客戶的急迫訴求。

默安科技從2017年開始進入安全開發(fā)領域，經(jīng)過5年耕耘，目前已擁有業(yè)內(nèi)領先、貫穿軟件生命周期各個階段的完整產(chǎn)品線，以及專業(yè)的服務團隊。方案在多個行業(yè)落地過程中，默安科技的安全專家們發(fā)現(xiàn)，如果只為客戶提供工具，只能解決單點問題，而對客戶來說，使用的產(chǎn)品越多越復雜，運營成本也就越高；另一方面，在多個工具、多個開發(fā)項目并行的狀態(tài)下，安全數(shù)據(jù)割裂的問題會更加突出，漏洞全生命周期管理和項目安全風險控制也更加困難。 

在此背景下，默安科技研發(fā)安全一體化管理平臺應運而生。

默安科技研發(fā)安全一體化管理平臺能夠?qū)崿F(xiàn)開發(fā)安全工具的一體化管理，統(tǒng)一收集與分析安全風險和漏洞數(shù)據(jù)，并通過嚴格的流程管控完整的風險緩解過程，確保關鍵風險閉環(huán)，應對項目數(shù)量多、安全工具雜、安全數(shù)據(jù)亂等問題，打造堅實的“研發(fā)安全中臺”。

全棧安全工具的能力管理

統(tǒng)一管理從開發(fā)側(cè)到運營側(cè)的全棧安全能力，包括威脅建模、SCA、SAST、IAST、DAST。該平臺不僅支持默安科技自主研發(fā)的安全產(chǎn)品，還提供API接口，幫助用戶輕松管理已有和新增的各類第三方工具。

自定義編排 項目管理更安全更自由

在這個平臺上，所有安全工具能力基于項目進行管理，即在平臺上建好項目后，按需調(diào)用指定安全工具，獲得相應能力。

同時平臺能夠?qū)又髁鞯拈_發(fā)項目管理系統(tǒng)，角色權限劃分全面、細粒度高；支持核心管理流程的自動化編排，審批流自定義、工作流自定義，流程管理可落地性強。

漏洞和風險的全生命周期管理

該平臺通過對接安全工具，獲取項目不同階段的所有安全數(shù)據(jù)，幫助客戶輕松完成基于項目的漏洞和風險信息聚合，建立跟蹤和修復閉環(huán)，使得安全漏洞和風險的管理與追蹤有據(jù)可循。

全局安全數(shù)據(jù)分析與展示 打造“研發(fā)安全中臺”

平臺支持大量研發(fā)項目下的漏洞數(shù)據(jù)融合與處理，打破數(shù)據(jù)“孤島”，去除污染數(shù)據(jù)，并實現(xiàn)可視化呈現(xiàn)，從安全角度為業(yè)務決策提供價值；該平臺基于統(tǒng)一業(yè)務標準，實現(xiàn)統(tǒng)一的對外技術接口與業(yè)務接口，橫向擴展安全能力，打造“研發(fā)安全中臺”。 

默安科技研發(fā)安全一體化管理平臺界面 

客戶成功故事 

1. 某運營商：監(jiān)管嚴格，安全開發(fā)從0到1

嚴格的行業(yè)規(guī)范和法律監(jiān)管是該客戶決定做安全開發(fā)體系建設的主要動力。面對“三同步”原則，客戶安全團隊無從下手；開發(fā)項目100+，開發(fā)安全卻一直未引起重視，項目管理和安全工作略顯混亂。

默安科技為客戶提供研發(fā)安全一體化管理平臺，對接默安全線開發(fā)安全產(chǎn)品（威脅建模STAC/SAST/SCA/IAST/巡哨）；并基于三同步原則，定制化開發(fā)流程管理模塊，實現(xiàn)自助式安全檢測、流轉(zhuǎn)、審批；同時對所有項目的安全風險數(shù)據(jù)統(tǒng)一分析處理，嚴控風險閉環(huán)，并對數(shù)據(jù)作可視化展示，促進業(yè)務決策。最后輔以平臺部署/運維管理、使用培訓、安全開發(fā)技能培訓、運營優(yōu)化等陪伴服務。 

歷時數(shù)月，該客戶完成了100+開發(fā)項目的統(tǒng)一納管，具備安全開發(fā)基礎能力，自動化運行安全開發(fā)管理流程，包括安全風險的徹底處置，真正實現(xiàn)了系統(tǒng)建設與安全建設的“三同步”。

2. 某頭部證券：實現(xiàn)多維度的安全能力承載 

該客戶已具備較好的開發(fā)安全建設基礎，例如在不同開發(fā)階段采購了多款不同品牌的開發(fā)安全測試工具。但在實際安全工作推進過程中，還是遇到了多項目間安全數(shù)據(jù)分散，60余個開發(fā)項目統(tǒng)一管理難度大，第三方滲透測試數(shù)據(jù)難以統(tǒng)一分析等問題。同時該客戶有著安全人員緊缺、DevSecOps需根據(jù)其自研的DevOps平臺作定制等特點。 

同樣，默安科技為該客戶建設研發(fā)安全一體化管理平臺，用于對接現(xiàn)有的第三方開發(fā)安全產(chǎn)品；融合第三方滲透測試報告數(shù)據(jù)，關聯(lián)至具體項目；無縫對接自研的DevOps平臺；統(tǒng)一分析和管理DevOps流程中所有來源的安全風險數(shù)據(jù)。同時增加默安SCA軟件成分分析模塊；并輔以各類陪伴式服務。 

該客戶在默安技術專家的陪伴服務下，完成對接各類開發(fā)安全測試工具的研發(fā)安全一體化管理平臺與客戶自研DevOps平臺的無縫對接，安全建設與項目發(fā)布效率并重；有效緩解了安全人員壓力，同時對大量開發(fā)項目做到統(tǒng)一安全管理，多來源安全數(shù)據(jù)得以統(tǒng)一分析和處置，保證漏洞管理閉環(huán)，實現(xiàn)了安全效益的最大化。

默安科技在安全開發(fā)領域不斷積累與探索，推出研發(fā)安全一體化管理平臺，結合業(yè)界領先的全流程安全開發(fā)自研工具，以及陪伴式專家服務，形成“一站式安全開發(fā)解決方案”。該方案目前在多個行業(yè)均得到成功落地，并獲得WitAwards 2021年度優(yōu)秀解決方案，是默安科技作為該領域先行者，又往前邁出的重要一步，更是廣大政企客戶對該解決方案的認可和期待。

產(chǎn)品咨詢添加小默微信

微信號 : littlemoresec

電話：0571-57890068