2020年RSA大会于2月24日至28日在美国旧金山召开。有着“全球网络安全风向标”之称的RSA创新沙盒中,入列十强的创新型安全厂商中,不乏聚焦在应用安全领域的身影,与开发安全相关的厂商BluBracket和ForAllSecure,都将更好地帮助用户落地DevSecOps作为自己产品的核心价值之一。
据悉,RSAC2020组委会收到的2400 份世界网络安全专家提交的演讲申请,根据申请者提交议题的汇总整理和分析,发布2020年网络安全行业10个趋势,“实现产品设计、开发和运营的安全”作为第二热门的趋势,仅次于作为大会主题的“人为因素”。这是全球网络安全专业人员对2020年乃至今后行业发展的判断。
作为左移开发安全的先行者,“上医治未病”是默安科技DevSecOps产品线的主要理念。漏洞是整个安全博弈的核心,默安科技的体系化产品能够帮助客户在应用上线前消灭高危漏洞、业务安全风险等在内的安全问题,做到应用不带病上线,从源头上根治安全问题。
默安科技DevSecOps解决方案一览
默安科技在业内率先推出一套拥有完整自研“服务+工具+平台”的安全开发全流程方案。
该方案能够与DevOps流程无缝对接,与代码仓库、Jenkins平台、Bug管理平台(Jira等),以及测试环境实现集成。SAST 模块和 IAST 模块均可与 CI/CD 平台集成;SAST 模块漏洞检测引擎通过与代码仓库集成自动化拉取代码并进行代码扫描,覆盖编码阶段的安全问题;IAST模块通过收集CI/CD平台发起的自动化功能测试流量,对流量进行分析和漏洞检测,覆盖测试阶段的安全问题;安全风险通过 API 输出到CI/CD 平台或Bug管理平台,与平台紧密结合。
其中IAST模块挖掘出的真实漏洞比传统漏洞扫描工具多50%;方案也支持软件成分分析(SCA),能发现第三方组件的安全问题;并且具备低误报的业务逻辑漏洞检测能力。该方案目前已经在金融、互联网、智能制造、电力能源等领域的客户侧获得了良好的口碑。
落地案例(一)
某股份制城市商业银行
案例背景
目前在全国范围内已拥有10多家分行,300多家营业网点,员工人数达8000人,服务覆盖长三角区域。开放银行是该银行主要业务之一,基于互联网场景获取,利用开放API技术与各类线上平台合作,实现支付、金融产品或其他开放服务,使得业务风险敞口更多,拉长了整个风险管理的链条,银行在业务上线前面临的安全责任与日俱增。
需求与痛点
◆ 互联网业务使安全面临更高挑战;
◆ 面临API技术窘境,数据难爬取;
◆ 过度依赖人工排查;
◆ 对交付质量管理严格,安全管理成本高。
方案内容
◆ 默安“服务+工具”的开发安全流程方案
方案价值
◆ 代码数据流检测模式突破“API窘境”
通过代码数据流模式收集功能测试流量来触发漏洞检测,可覆盖加密、验证码等一次性接口,解决了传统爬虫的“API窘境”。
◆ 自动化安全测试,满足行内漏洞检测范围
解决通用漏洞测试覆盖不全的问题,尽早发现系统中存在的通用类漏洞,规避了很多安全风险。
◆ 精准发现漏洞,实现安全风险0误报
通过雳鉴IAST在开发测试中建立安全测试环节,有效地形成安全闭环,快速的发现漏洞、定位安全风险,实测安全漏洞0误报,降低了安全测试难度。
◆ 可视化管理,为软件开发安全实现赋能
通过可视化统一管理界面,帮助安全部门和测试部门建立桥梁,清晰展示项目的安全测试和发现漏洞的情况,并对漏洞的修复情况进行跟踪。
落地案例(二)
某上市企业(制造业)
案例背景
该公司是一家专注于健康饮食电器研发、生产和销售的上市企业。随着技术的变革,越来越智能的小家电已经成为物联网时代的家电独角兽,变成人们生活中重要的一部分。作为国内主流品牌,该公司业务量与日俱增,开发过程中隐藏的安全隐患亟待解决。
需求与痛点
◆ 物联网时代小家电业务与日俱增,安全风险高;
◆ 安全测试流程和规范亟待优化;
◆ 解决业务带病上线的问题。
方案内容
◆ 默安“服务+工具”的开发安全流程方案
方案价值
◆ 通过IAST在开发测试中建立安全测试环节,取代了人工渗透环节,帮助企业在开发过程中快速发现漏洞、查出安全问题,做到漏洞0误报;
◆ 建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业务安全自查的需求;
◆ 在安全测试环节,默安技术支持团队在出现问题后第一时间响应,得到客户方一致认可。
落地案例(三)
大型集团(房地产行业)
案例背景
该集团成立于1984年,经过三十多年的发展,成为国内最大的住宅开发企业之一,业务覆盖珠三角、长三角、环渤海三大城市经济圈以及中西部地区,共计50多个大中城市,销售规模持续居全球同行业首位。
需求与痛点
◆ 规避集团智造业务全面上线前安全风险;
◆ 解决研发过程安全难推进落地的问题;
◆ 查出安全问题,保证交付质量。
方案内容
◆ 默安“服务+工具+平台”开发安全的全流程方案
方案价值
◆ 统一的上线检测流程,上线前为应用系统植入安全优势;
◆ 漏洞的低误报与高检出,大大降低验证成本和风险;
◆ 0门槛、无侵入式的安全检测,打破研发与安全的组织边界;
◆ 研发安全能力整体迈上一个崭新的台阶。
特别值得一提的是,该方案入选了产业媒体数字观察发布的《2018企服案例TOP50》榜单。
落地案例(四)
某省级烟草公司
案例背景
该公司主要对省所属企业的生产、供应、销售、进出口业务和对外经济技术合作实行集中统一经营管理。其正在建设统一经营管理平台,这个平台将把原来分散在各地市的烟草销售经营业务统一到省公司集中管理。该公司自身没有研发团队,所有的系统都有外部供应商开发。
需求与痛点
◆ 业务和数据更集中,安全责任增大;
◆ 全新技术架构在安全、稳定性上的考量仍需优化;
◆ 业务架构对互联网高度开放,需严格杜绝带病上线,尤其是可能危及核心业务的高危漏洞;
◆ 外包供应商的安全开发能力不足,对系统交付前后的安全性无法提供有效保障。
方案内容
◆ 默安“服务+工具+平台”开发安全的全流程方案
方案价值
◆ 正式系统上线后渗透测试结果为0漏洞,极大提高系统的安全性;
◆ 基于项目经验,针对客户实际情况,输出了切实可行、规范有效的安全开发管理体系;
◆ 建立包含外包场景的全新SDL体系,包括开发管理手册、供应商安全开发管理规范、SDL安全检测协作平台等。
落地案例(五)
某信息化服务商(电力行业)
案例背景
该服务商是一家面向电力系统提供专业的电力行业信息化,及通信应用解决方案、产品和服务的综合企业,服务涵盖电网、电厂等多个行业。
需求与痛点
◆ 交付项目安全要求高;
◆ 缺乏安全测试工具和规范;
◆ 在业务上线前排查安全问题。
方案内容
◆ 默安“服务+工具+平台”开发安全的全流程方案
方案价值
◆ 在开发测试中建立安全测试环节,有效地形成安全闭环,满足研发团队自主安全测试需求,降低安全技术规范的合规门槛;
◆ 快速的发现漏洞、定位安全风险,细化了安全部和各研发团队的安全分工,节约了人力成本,提高了工作效率;
◆ 实测漏洞0误报,实现安全风险的可视化,解决了很多实际的安全问题。