數(shù)字化轉(zhuǎn)型浪潮下，軟件研發(fā)安全的重要性毋庸置疑。

據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞發(fā)生在軟件應(yīng)用程序中，且應(yīng)用中每1000行代碼至少出現(xiàn)一個(gè)業(yè)務(wù)邏輯缺陷。

在近年來如火如荼的攻防演練中，應(yīng)用程序成為最易被攻破的對象之一。

《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確“系統(tǒng)建設(shè)與安全建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)維/使用”的“三同步”原則，對應(yīng)用系統(tǒng)開發(fā)流程的全生命周期安全管理提出更高的要求。

同時(shí)，如何輕松流暢地落地SDL/DevSecOps依然是普遍痛點(diǎn)。放眼望去，市場上開發(fā)安全工具種類和品牌繁多，但不同品牌不同類型的單點(diǎn)工具“各自為戰(zhàn)”，開發(fā)安全數(shù)據(jù)“孤島”現(xiàn)象凸出，各個(gè)研發(fā)項(xiàng)目無法便捷地管理不同階段的安全問題，一款能夠有效管控研發(fā)流程與安全風(fēng)險(xiǎn)的統(tǒng)一平臺成為眾多客戶的急迫訴求。

默安科技從2017年開始進(jìn)入安全開發(fā)領(lǐng)域，經(jīng)過5年耕耘，目前已擁有業(yè)內(nèi)領(lǐng)先、貫穿軟件生命周期各個(gè)階段的完整產(chǎn)品線，以及專業(yè)的服務(wù)團(tuán)隊(duì)。方案在多個(gè)行業(yè)落地過程中，默安科技的安全專家們發(fā)現(xiàn)，如果只為客戶提供工具，只能解決單點(diǎn)問題，而對客戶來說，使用的產(chǎn)品越多越復(fù)雜，運(yùn)營成本也就越高；另一方面，在多個(gè)工具、多個(gè)開發(fā)項(xiàng)目并行的狀態(tài)下，安全數(shù)據(jù)割裂的問題會更加突出，漏洞全生命周期管理和項(xiàng)目安全風(fēng)險(xiǎn)控制也更加困難。 

在此背景下，默安科技研發(fā)安全一體化管理平臺應(yīng)運(yùn)而生。

默安科技研發(fā)安全一體化管理平臺能夠?qū)崿F(xiàn)開發(fā)安全工具的一體化管理，統(tǒng)一收集與分析安全風(fēng)險(xiǎn)和漏洞數(shù)據(jù)，并通過嚴(yán)格的流程管控完整的風(fēng)險(xiǎn)緩解過程，確保關(guān)鍵風(fēng)險(xiǎn)閉環(huán)，應(yīng)對項(xiàng)目數(shù)量多、安全工具雜、安全數(shù)據(jù)亂等問題，打造堅(jiān)實(shí)的“研發(fā)安全中臺”。

全棧安全工具的能力管理

統(tǒng)一管理從開發(fā)側(cè)到運(yùn)營側(cè)的全棧安全能力，包括威脅建模、SCA、SAST、IAST、DAST。該平臺不僅支持默安科技自主研發(fā)的安全產(chǎn)品，還提供API接口，幫助用戶輕松管理已有和新增的各類第三方工具。

自定義編排 項(xiàng)目管理更安全更自由

在這個(gè)平臺上，所有安全工具能力基于項(xiàng)目進(jìn)行管理，即在平臺上建好項(xiàng)目后，按需調(diào)用指定安全工具，獲得相應(yīng)能力。

同時(shí)平臺能夠?qū)又髁鞯拈_發(fā)項(xiàng)目管理系統(tǒng)，角色權(quán)限劃分全面、細(xì)粒度高；支持核心管理流程的自動(dòng)化編排，審批流自定義、工作流自定義，流程管理可落地性強(qiáng)。

漏洞和風(fēng)險(xiǎn)的全生命周期管理

該平臺通過對接安全工具，獲取項(xiàng)目不同階段的所有安全數(shù)據(jù)，幫助客戶輕松完成基于項(xiàng)目的漏洞和風(fēng)險(xiǎn)信息聚合，建立跟蹤和修復(fù)閉環(huán)，使得安全漏洞和風(fēng)險(xiǎn)的管理與追蹤有據(jù)可循。

全局安全數(shù)據(jù)分析與展示 打造“研發(fā)安全中臺”

平臺支持大量研發(fā)項(xiàng)目下的漏洞數(shù)據(jù)融合與處理，打破數(shù)據(jù)“孤島”，去除污染數(shù)據(jù)，并實(shí)現(xiàn)可視化呈現(xiàn)，從安全角度為業(yè)務(wù)決策提供價(jià)值；該平臺基于統(tǒng)一業(yè)務(wù)標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一的對外技術(shù)接口與業(yè)務(wù)接口，橫向擴(kuò)展安全能力，打造“研發(fā)安全中臺”。 

默安科技研發(fā)安全一體化管理平臺界面 

客戶成功故事 

1. 某運(yùn)營商：監(jiān)管嚴(yán)格，安全開發(fā)從0到1

嚴(yán)格的行業(yè)規(guī)范和法律監(jiān)管是該客戶決定做安全開發(fā)體系建設(shè)的主要?jiǎng)恿?。面?ldquo;三同步”原則，客戶安全團(tuán)隊(duì)無從下手；開發(fā)項(xiàng)目100+，開發(fā)安全卻一直未引起重視，項(xiàng)目管理和安全工作略顯混亂。

默安科技為客戶提供研發(fā)安全一體化管理平臺，對接默安全線開發(fā)安全產(chǎn)品（威脅建模STAC/SAST/SCA/IAST/巡哨）；并基于三同步原則，定制化開發(fā)流程管理模塊，實(shí)現(xiàn)自助式安全檢測、流轉(zhuǎn)、審批；同時(shí)對所有項(xiàng)目的安全風(fēng)險(xiǎn)數(shù)據(jù)統(tǒng)一分析處理，嚴(yán)控風(fēng)險(xiǎn)閉環(huán)，并對數(shù)據(jù)作可視化展示，促進(jìn)業(yè)務(wù)決策。最后輔以平臺部署/運(yùn)維管理、使用培訓(xùn)、安全開發(fā)技能培訓(xùn)、運(yùn)營優(yōu)化等陪伴服務(wù)。 

歷時(shí)數(shù)月，該客戶完成了100+開發(fā)項(xiàng)目的統(tǒng)一納管，具備安全開發(fā)基礎(chǔ)能力，自動(dòng)化運(yùn)行安全開發(fā)管理流程，包括安全風(fēng)險(xiǎn)的徹底處置，真正實(shí)現(xiàn)了系統(tǒng)建設(shè)與安全建設(shè)的“三同步”。

2. 某頭部證券：實(shí)現(xiàn)多維度的安全能力承載 

該客戶已具備較好的開發(fā)安全建設(shè)基礎(chǔ)，例如在不同開發(fā)階段采購了多款不同品牌的開發(fā)安全測試工具。但在實(shí)際安全工作推進(jìn)過程中，還是遇到了多項(xiàng)目間安全數(shù)據(jù)分散，60余個(gè)開發(fā)項(xiàng)目統(tǒng)一管理難度大，第三方滲透測試數(shù)據(jù)難以統(tǒng)一分析等問題。同時(shí)該客戶有著安全人員緊缺、DevSecOps需根據(jù)其自研的DevOps平臺作定制等特點(diǎn)。 

同樣，默安科技為該客戶建設(shè)研發(fā)安全一體化管理平臺，用于對接現(xiàn)有的第三方開發(fā)安全產(chǎn)品；融合第三方滲透測試報(bào)告數(shù)據(jù)，關(guān)聯(lián)至具體項(xiàng)目；無縫對接自研的DevOps平臺；統(tǒng)一分析和管理DevOps流程中所有來源的安全風(fēng)險(xiǎn)數(shù)據(jù)。同時(shí)增加默安SCA軟件成分分析模塊；并輔以各類陪伴式服務(wù)。 

該客戶在默安技術(shù)專家的陪伴服務(wù)下，完成對接各類開發(fā)安全測試工具的研發(fā)安全一體化管理平臺與客戶自研DevOps平臺的無縫對接，安全建設(shè)與項(xiàng)目發(fā)布效率并重；有效緩解了安全人員壓力，同時(shí)對大量開發(fā)項(xiàng)目做到統(tǒng)一安全管理，多來源安全數(shù)據(jù)得以統(tǒng)一分析和處置，保證漏洞管理閉環(huán)，實(shí)現(xiàn)了安全效益的最大化。

默安科技在安全開發(fā)領(lǐng)域不斷積累與探索，推出研發(fā)安全一體化管理平臺，結(jié)合業(yè)界領(lǐng)先的全流程安全開發(fā)自研工具，以及陪伴式專家服務(wù)，形成“一站式安全開發(fā)解決方案”。該方案目前在多個(gè)行業(yè)均得到成功落地，并獲得WitAwards 2021年度優(yōu)秀解決方案，是默安科技作為該領(lǐng)域先行者，又往前邁出的重要一步，更是廣大政企客戶對該解決方案的認(rèn)可和期待。

產(chǎn)品咨詢添加小默微信

微信號 : littlemoresec

電話：0571-57890068