案例名稱(chēng)
重慶銀行開(kāi)發(fā)安全管控平臺(tái)
(資料圖片)
案例簡(jiǎn)介
隨著重慶銀行數(shù)字化轉(zhuǎn)型進(jìn)程的深入推進(jìn)���,研發(fā)流程也在不斷更新,以滿足現(xiàn)有業(yè)務(wù)需求。開(kāi)發(fā)模式也正在向敏捷及DevOps迭代��,但是在這種復(fù)合開(kāi)發(fā)模式的情況下����,安全管控及安全檢測(cè)能力難以適應(yīng)現(xiàn)狀�。重慶銀行在原有的安全能力的基礎(chǔ)上�����,引入安全開(kāi)發(fā)管控平臺(tái)�����,建立配套管理規(guī)范和檢測(cè)能力,在適配當(dāng)前及踐行未來(lái)開(kāi)發(fā)流程的條件下建設(shè)落地SDL安全運(yùn)營(yíng)體系�����,前置安全管控措施��,提升信息系統(tǒng)內(nèi)生安全,筑牢金融數(shù)字安全“防護(hù)堤”�,護(hù)航我行數(shù)字化轉(zhuǎn)型安全��、穩(wěn)定。
創(chuàng)新技術(shù)/模式應(yīng)用
通過(guò)開(kāi)發(fā)安全管控平臺(tái)的建設(shè)�,結(jié)合安全左移的理念將威脅建模融入到軟件生命周期的設(shè)計(jì)階段,從根源上介入安全管控�,針對(duì)自研項(xiàng)目、第三方項(xiàng)目在軟件生命周期的不同階段,引入適合的安全檢測(cè)工具實(shí)現(xiàn)自動(dòng)化安全風(fēng)險(xiǎn)分析�����、質(zhì)量管控及漏洞信息的分發(fā)流程管控�����,優(yōu)化工作流程��,提升應(yīng)用安全的管理效率和運(yùn)營(yíng)能力�����,降低漏洞修復(fù)成本,最終實(shí)現(xiàn)基于應(yīng)用開(kāi)發(fā)安全管控平臺(tái)的SDL運(yùn)營(yíng)體系,保障安全風(fēng)險(xiǎn)的高效治理���。平臺(tái)主要?jiǎng)?chuàng)新點(diǎn)如下:
1.基于場(chǎng)景化的輕量級(jí)威脅建模技術(shù)����。通過(guò)情景式問(wèn)卷形式,結(jié)合實(shí)際業(yè)務(wù)需求,場(chǎng)景化輕量級(jí)威脅建模�,識(shí)別相關(guān)安全威脅點(diǎn)�,并且提供相關(guān)安全消減措施和驗(yàn)證方案,從源頭上管控早期威脅���,提出相關(guān)設(shè)計(jì)要求和安全參考編碼規(guī)范等內(nèi)容�,為研發(fā)測(cè)試提供安全依據(jù)�。
2.安全工具鏈智能編排技術(shù)。通過(guò)完善成熟的開(kāi)發(fā)流程及DevOps系統(tǒng)對(duì)接方案����,支持眾多的商業(yè)或自研的流水線平臺(tái)。同時(shí),該方案支持檢測(cè)工具插件化支撐和工具鏈集成��,實(shí)現(xiàn)將行內(nèi)現(xiàn)有及未來(lái)引入的安全工具進(jìn)行統(tǒng)一化管理��,解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立�����、漏洞管理難閉環(huán)����、開(kāi)發(fā)流程難管控等核心痛點(diǎn)問(wèn)題��。
3.SCA應(yīng)用組件安全威脅分析技術(shù)�����。通過(guò)對(duì)二進(jìn)制軟件的組成部分進(jìn)行識(shí)別���、分析和追蹤,挖掘第三方基礎(chǔ)組件/可執(zhí)行程序/源代碼等類(lèi)型以二進(jìn)制形式存儲(chǔ)的文件中存在的安全風(fēng)險(xiǎn)或運(yùn)行缺陷����,提出修正措施和建議,保障軟件要素安全可靠�。
4.基于agent動(dòng)態(tài)代碼安全分析技術(shù)。通過(guò)服務(wù)端部署Agent微探針Hook方法���,收集�、監(jiān)控web應(yīng)用程序運(yùn)行時(shí)函數(shù)執(zhí)行�����、數(shù)據(jù)傳輸,并與掃描器引擎端進(jìn)行實(shí)時(shí)交互����,高效、準(zhǔn)確地識(shí)別安全缺陷����,漏洞覆蓋主流OWASP Top 10以及 CWE Top 25等漏洞,同時(shí)�����,可在鎖定漏洞所在的代碼文件�����、行數(shù)��、函數(shù)及參數(shù)的基礎(chǔ)上實(shí)現(xiàn)安全檢測(cè)的高準(zhǔn)確率�。
5.漏洞全生命周期關(guān)聯(lián)分析技術(shù)。漏洞全生命周期關(guān)聯(lián)分析技術(shù)具有跨平臺(tái)�、分層、模塊化�����、可組合、可伸縮的體系架構(gòu)����;各項(xiàng)功能模塊之間具備良好的功能擴(kuò)展性和開(kāi)放性。
6.智能化安全檢測(cè)能力��,構(gòu)建金融安全閉環(huán)管理“數(shù)字化”�����。平臺(tái)對(duì)現(xiàn)有開(kāi)發(fā)安全管理制度�、技術(shù)規(guī)范、流程進(jìn)行固化���,形成標(biāo)準(zhǔn)化安全管控流程,同時(shí)通過(guò)平臺(tái)加強(qiáng)安全開(kāi)發(fā)過(guò)程中的數(shù)據(jù)分析����,與各個(gè)開(kāi)發(fā)環(huán)節(jié)形成正循環(huán),提升安全開(kāi)發(fā)工作效能��。該方案聚焦早期開(kāi)發(fā)需求分析�����、架構(gòu)設(shè)計(jì)階段的威脅建模,重點(diǎn)解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立����、漏洞管理難閉環(huán)、開(kāi)發(fā)流程難管控等核心痛點(diǎn)問(wèn)題���,從開(kāi)發(fā)源頭開(kāi)始將安全專(zhuān)家團(tuán)隊(duì)的安全能力持續(xù)賦能給傳統(tǒng)IT項(xiàng)目人員�,使安全思想注入DevSecOps/SDL全生命周期�����,幫助我行流程化���、自動(dòng)化��、持續(xù)化地保障業(yè)務(wù)安全���。
構(gòu)建SDL安全運(yùn)營(yíng)體系,助力金融數(shù)字化轉(zhuǎn)型����。通過(guò)設(shè)定標(biāo)準(zhǔn)化安全管控流程����,實(shí)現(xiàn)安全開(kāi)發(fā)體系的制度支持����;對(duì)于安全工具鏈引入,賦能研發(fā)流程中相關(guān)角色在進(jìn)行本職工作的同時(shí)���,保證輸出的制品經(jīng)過(guò)安全工具的校驗(yàn)���,實(shí)現(xiàn)安全開(kāi)發(fā)體系的能力支持;對(duì)于多種研發(fā)流程和場(chǎng)景進(jìn)行全量的對(duì)接與適配���,實(shí)現(xiàn)開(kāi)發(fā)安全體系的流程支持����。通過(guò)制度����、能力以及流程上的支撐���,將安全賦能全流程中的每一個(gè)環(huán)節(jié)�����,實(shí)現(xiàn)安全的全方位覆蓋以及前置左移���,落地SDL安全運(yùn)營(yíng)開(kāi)發(fā)體系����。
項(xiàng)目效果評(píng)估
通過(guò)開(kāi)發(fā)安全管控平臺(tái)建設(shè)���,構(gòu)建全面的技術(shù)標(biāo)準(zhǔn)庫(kù)�,合規(guī)標(biāo)準(zhǔn)庫(kù)以及基礎(chǔ)知識(shí)庫(kù)等���,實(shí)現(xiàn)對(duì)安全知識(shí)庫(kù)的統(tǒng)一管理��,為研發(fā)人員及安全管理人員提供安全管理依據(jù)����。以下是平臺(tái)建設(shè)所取得的成效:
1�、統(tǒng)一化平臺(tái),提升管理效率�����。平臺(tái)將安全專(zhuān)家能力持續(xù)賦能給傳統(tǒng)IT項(xiàng)目人員,使安全思想注入軟件全生命周期����,形成統(tǒng)一的安全風(fēng)險(xiǎn)處理流程。從需求提出��、風(fēng)險(xiǎn)發(fā)現(xiàn)到安全需求驗(yàn)證����,實(shí)現(xiàn)全流程閉環(huán)管理幫助企業(yè)流程化、自動(dòng)化���、制度化地保障業(yè)務(wù)安全�����。平臺(tái)自上線以來(lái)已完成我行所有新建及重要信息系統(tǒng)接入管控�,開(kāi)發(fā)過(guò)程中應(yīng)用安全漏洞平均數(shù)降為1.3個(gè)�,單個(gè)漏洞修復(fù)周期從7人天降至1人天,并且漏洞復(fù)測(cè)無(wú)需人工介入��。
2�、融入開(kāi)發(fā)過(guò)程�,運(yùn)營(yíng)能力提升���。建立完善豐富的安全工具鏈體系,持續(xù)賦能研發(fā)測(cè)試人員安全測(cè)試能力�,提前發(fā)現(xiàn)安全風(fēng)險(xiǎn),提升漏洞檢出率及覆蓋面�����,集合全生命周期的漏洞管理流程�,建立安全持續(xù)運(yùn)營(yíng)過(guò)程。
3���、標(biāo)準(zhǔn)化左移體系�,構(gòu)造DevSecOps體系基礎(chǔ)�����。在軟件開(kāi)發(fā)測(cè)試階段無(wú)縫嵌入安全測(cè)試�,不僅可實(shí)現(xiàn)理想的DevSecOps安全開(kāi)發(fā)全流程,收斂安全工作��,也可以在一定程度上覆蓋部分人工滲透難以測(cè)試覆蓋的業(yè)務(wù)點(diǎn)����,高效實(shí)現(xiàn)應(yīng)用上線前的安全審查��,防止應(yīng)用帶病上線���,實(shí)現(xiàn)安全左移,降低安全修復(fù)成本����,源頭解決應(yīng)用內(nèi)部風(fēng)險(xiǎn)。
在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)復(fù)雜���、企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵階段���,從源頭開(kāi)展安全治理成為企業(yè)數(shù)字安全建設(shè)的重要手段。重慶銀行開(kāi)發(fā)安全管控平臺(tái)已成為信息系統(tǒng)內(nèi)生安全的重要催化劑�����,未來(lái)將持續(xù)秉承“安全左移”理念���,以金融數(shù)字化安全為目標(biāo)���,深入推進(jìn)軟件安全治理��,構(gòu)建全行一體化安全運(yùn)營(yíng)體系����,助力全行數(shù)字化轉(zhuǎn)型高質(zhì)量發(fā)展�����。
項(xiàng)目牽頭人
顧方方 重慶銀行科技部副總經(jīng)理
項(xiàng)目團(tuán)隊(duì)成員
汪洪珍���、唐福喜、陽(yáng)方升�、徐寧、林真?zhèn)?����、劉暢�����、熊玉�����、聶志宏、謝昌建
關(guān)鍵詞:
營(yíng)業(yè)執(zhí)照公示信息