某股份制銀行開發(fā)安全技術(shù)支持平臺項目

摘要： 比瓴科技為金融、互聯(lián)網(wǎng)、運(yùn)營商、工業(yè)制造、交通、零售及消費等行業(yè)的100+客戶，50000+軟件系統(tǒng)提供安全技術(shù)支撐，幫助企業(yè)構(gòu)建數(shù)字化業(yè)務(wù)安全基石。

項目背景：
某股份制銀行有大量的應(yīng)用程序，包括網(wǎng)站、移動應(yīng)用、內(nèi)部系統(tǒng)等。一方面，這些應(yīng)用程序由不同的團(tuán)隊開發(fā)，使用不同的編程語言和技術(shù)棧，導(dǎo)致管理和維護(hù)安全性變得復(fù)雜；另一方面，在敏捷開發(fā)和研發(fā)運(yùn)維一體化模式下，開發(fā)和部署的速度顯著加快，但安全活動難以跟上節(jié)奏，給開發(fā)活動帶來阻力，增加了銀行面臨的安全風(fēng)險。
在這樣的背景下，銀行迫切需要一種綜合的、高效的安全解決方案，以提升安全開發(fā)成熟度水平，加強(qiáng)安全活動效率，降低安全風(fēng)險。

方案實施：
比瓴科技與銀行深入溝通，了解其安全需求、業(yè)務(wù)特點和現(xiàn)有安全情況，制定以安全平臺為核心的項目目標(biāo)。通過部署安全平臺，結(jié)合必要的安全服務(wù)，在銀行擁有龐大且復(fù)雜的應(yīng)用生態(tài)系統(tǒng)的情況下，簡化安全管理，幫助銀行匯總安全能力、流程和數(shù)據(jù)，減少了信息孤島和重復(fù)勞動，提高效率，整體建設(shè)方案如下圖所示。

• 整合安全工具統(tǒng)一輸出安全能力

第一階段的主要工作是完成安全平臺的安裝、配置、集成、調(diào)試。安全平臺集成銀行內(nèi)部多種安全測試工具，包括SCA、SAST、DAST、容器安全掃描等。這些工具覆蓋了應(yīng)用開發(fā)生命周期的不同階段，幫助銀行全面地發(fā)現(xiàn)安全問題，并加速安全漏洞的修復(fù)過程。

• 匯聚工具漏洞形成數(shù)據(jù)中心

第二階段的主要工作是通過安全平臺的應(yīng)用安全編排技術(shù)自動化執(zhí)行安全活動。安全平臺將不同安全測試工具的數(shù)據(jù)，發(fā)現(xiàn)的安全漏洞與具體的應(yīng)用程序相關(guān)聯(lián)，相關(guān)漏洞歸類為同一個安全問題，自動化生成測試報告和提供修復(fù)建議，提高了安全測試的效率和準(zhǔn)確性，有助于銀行更全面地理解安全威脅的全貌，并采取相應(yīng)的措施進(jìn)行修復(fù)和改進(jìn)。

• 數(shù)據(jù)關(guān)聯(lián)分析識別漏洞優(yōu)先級

第三階段的主要工作是通過安全平臺的漏洞優(yōu)先級技術(shù)識別出最緊急的安全問題，避免將所有漏洞一視同仁，導(dǎo)致資源分配不當(dāng)?shù)膯栴}。漏洞優(yōu)先級技術(shù)結(jié)合了漏洞的嚴(yán)重程度、影響范圍和可能被利用的概率等因素，再結(jié)合外部威脅情報綜合計算安全風(fēng)險，為銀行提供了一種有效的漏洞修復(fù)優(yōu)先級排序方式。通過漏洞優(yōu)先級技術(shù)，銀行能夠快速確定哪些漏洞最需要優(yōu)先解決，從而有效地分配資源，降低安全風(fēng)險。

效果評估：
通過安全平臺的落地與推廣，銀行取得了顯著的成效：
首先，銀行提升了安全開發(fā)成熟度水平。銀行的安全開發(fā)流程得到了優(yōu)化和加強(qiáng)。這有助于加強(qiáng)開發(fā)團(tuán)隊的安全意識，提高開發(fā)流程的規(guī)范性和質(zhì)量，從而提升了整體的安全開發(fā)成熟度水平。

其次，銀行提高了安全測試工具的使用效率。安全平臺的自動化漏洞掃描和關(guān)聯(lián)分析功能極大地提高了安全測試工具的使用效率。自動化執(zhí)行漏洞掃描、自動生成測試報告和提供修復(fù)建議等功能，減少了人工干預(yù)和手動操作的需求，加速了安全問題的發(fā)現(xiàn)和解決過程。

此外，銀行降低了安全風(fēng)險。銀行能夠更及時地發(fā)現(xiàn)和修復(fù)安全漏洞，優(yōu)先處理最嚴(yán)重的安全問題，從而降低了面臨的安全風(fēng)險和潛在的損失。同時，安全平臺的自動化漏洞掃描和關(guān)聯(lián)分析功能有助于銀行更全面地理解安全威脅的全貌，提前采取防范措施，減少安全事件的發(fā)生概率。

通過安全平臺，銀行有效提升了安全開發(fā)成熟度水平，提高了安全測試工具的使用效率，降低了安全風(fēng)險，讓安全與業(yè)務(wù)交付保持統(tǒng)一速度。
 
技術(shù)服務(wù)商簡介：
比瓴科技是行業(yè)領(lǐng)先的軟件安全解決方案供應(yīng)商，面向企業(yè)客戶提供覆蓋軟件生命周期的安全產(chǎn)品。在一個被軟件定義的世界，比瓴致力于幫助客戶快速交付安全、合規(guī)、可信賴的軟件，讓安全與業(yè)務(wù)保持同一速度。

比瓴科技當(dāng)前三大應(yīng)用安全產(chǎn)品線，分別是瓴域、瓴知、瓴鏡。其中瓴域產(chǎn)品線為平臺類產(chǎn)品，應(yīng)用安全態(tài)勢管理系統(tǒng)（ASPM）提供了以應(yīng)用資產(chǎn)風(fēng)險為視角的應(yīng)用安全畫像能力；安全開發(fā)管理系統(tǒng)（SDLM）則提供了安全開發(fā)全流程的管控功能，提高安全開發(fā)管理效率。瓴知產(chǎn)品線主要為應(yīng)用安全威脅建模系統(tǒng)（TMA），以比瓴科技強(qiáng)大的安全專家團(tuán)隊提供的安全開發(fā)知識庫為基礎(chǔ)，幫助客戶快速開展安全威脅建模工作。瓴鏡產(chǎn)品線提供了對應(yīng)用代碼和程序的安全檢測工具，包含軟件成分分析系統(tǒng)（SCA）、交互式應(yīng)用安全檢測系統(tǒng)（IAST）、源代碼安全審計系統(tǒng)（SAST）。

比瓴科技產(chǎn)品線填補(bǔ)了國內(nèi)系統(tǒng)化、平臺化的綜合解決方案這一空白。基于系列產(chǎn)品向客戶提供與軟件開發(fā)過程生命周期相關(guān)的安全咨詢及安全服務(wù)。

截止目前，比瓴科技為金融、互聯(lián)網(wǎng)、運(yùn)營商、工業(yè)制造、交通、零售及消費等行業(yè)的100+客戶，50000+軟件系統(tǒng)提供安全技術(shù)支撐，幫助企業(yè)構(gòu)建數(shù)字化業(yè)務(wù)安全基石。