AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢(shì)感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場(chǎng)
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運(yùn)營(yíng)管理服務(wù)
安全開(kāi)發(fā)一體化
安恒信息根據(jù)安全開(kāi)發(fā)生命周期領(lǐng)域多年的深入研究和分析,吸收了DevSecOps的思想,參考SDL相關(guān)方法論和成熟度模型的指導(dǎo)建議,結(jié)合自身在安全領(lǐng)域多年的經(jīng)驗(yàn)及技術(shù)積累,打造了專(zhuān)門(mén)針對(duì)安全開(kāi)發(fā)的產(chǎn)品,旨在幫助用戶(hù)構(gòu)建起完整、高效且高質(zhì)量的安全開(kāi)發(fā)體系,滿(mǎn)足軟件的安全性需求。
-
背景
軟件作為數(shù)字經(jīng)濟(jì)的最重要的助推器之一,早已滲透到生活的方方面面。無(wú)論是微信小程序、支付寶訂閱號(hào)、掌上/網(wǎng)上銀行、外賣(mài)、購(gòu)物、交流,還是云平臺(tái)、操作系統(tǒng)、設(shè)備固件、數(shù)據(jù)庫(kù)、工業(yè)控制系統(tǒng),都離不開(kāi)軟件開(kāi)發(fā)。
而云計(jì)算技術(shù)、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)快速發(fā)展以及基礎(chǔ)設(shè)施的完善、標(biāo)準(zhǔn)化和安全性能力提升,使得軟件安全漸漸成了企業(yè)安全的突破口。然而對(duì)于企業(yè)而言,軟件安全做什么、怎么做以及怎么推進(jìn)都存在一些的困難和問(wèn)題亟待解決。 -
-
-
簡(jiǎn)介
安恒信息根據(jù)安全開(kāi)發(fā)生命周期領(lǐng)域多年的深入研究和分析,吸收了DevSecOps的思想,參考SDL相關(guān)方法論和成熟度模型的指導(dǎo)建議,結(jié)合自身在安全領(lǐng)域多年的經(jīng)驗(yàn)及技術(shù)積累,打造了專(zhuān)門(mén)針對(duì)安全開(kāi)發(fā)的產(chǎn)品,旨在幫助用戶(hù)構(gòu)建起完整、高效且高質(zhì)量的安全開(kāi)發(fā)體系,滿(mǎn)足軟件的安全性需求。
核心思想
-
產(chǎn)品:以安恒信息安全開(kāi)發(fā)一體化平臺(tái)等產(chǎn)品為代表
1.借助標(biāo)準(zhǔn)化、自動(dòng)化的特點(diǎn),以高效的方式構(gòu)筑安全質(zhì)量基準(zhǔn)線(xiàn),創(chuàng)建共同安全目標(biāo)。
2.借助產(chǎn)品/工具推進(jìn)信息化、數(shù)據(jù)化,實(shí)現(xiàn)風(fēng)險(xiǎn)實(shí)時(shí)可視,及時(shí)發(fā)現(xiàn)盲點(diǎn) -
服務(wù):以SDL咨詢(xún)規(guī)劃、SDL實(shí)踐等服務(wù)為代
1.以人的創(chuàng)新性構(gòu)筑符合企業(yè)現(xiàn)狀的規(guī)劃,推進(jìn)產(chǎn)品實(shí)施、團(tuán)隊(duì)協(xié)作。
2.以人的創(chuàng)新性覆蓋非典型案例(產(chǎn)品無(wú)法覆蓋),推動(dòng)非典案例進(jìn)行標(biāo)準(zhǔn)化。
3.以人才為基石,構(gòu)建知識(shí)和培養(yǎng)體系,有效實(shí)施安全。
收益
安全開(kāi)發(fā)標(biāo)準(zhǔn)化基線(xiàn)
使用天璇模塊提供的安全需求與設(shè)計(jì)的能力,有效實(shí)現(xiàn)了安全需求知識(shí)沉淀,形成了安全需求、安全設(shè)計(jì)、安全測(cè)試的標(biāo)準(zhǔn)化知識(shí)庫(kù),通過(guò)與業(yè)務(wù)邏輯進(jìn)行組合分析,可勾勒出任何一個(gè)業(yè)務(wù)功能需要滿(mǎn)足的安全要求,也可隨時(shí)賦能給任何一個(gè)研發(fā)項(xiàng)目或者作為任何一個(gè)研發(fā)項(xiàng)目的安全驗(yàn)收標(biāo)準(zhǔn)。
安全開(kāi)發(fā)自動(dòng)化能力
通過(guò)設(shè)計(jì)標(biāo)準(zhǔn)化的輸入輸出以及調(diào)用方式平臺(tái)支持封裝各類(lèi)的安全工具,賦予了自動(dòng)化的能力,大幅度降低了工具使用的門(mén)檻,又能將現(xiàn)有的成熟的安全產(chǎn)品的安全能力結(jié)合到安全開(kāi)發(fā)體系中,使得效率大幅度提升,同時(shí)也強(qiáng)化了安全基線(xiàn)。
安全開(kāi)發(fā)數(shù)據(jù)化
通過(guò)統(tǒng)一收錄各類(lèi)安全工具的檢測(cè)結(jié)果并進(jìn)行歸一化處理,為分析安全數(shù)據(jù)提供了強(qiáng)有力的保障。同時(shí)對(duì)開(kāi)發(fā)相關(guān)的各類(lèi)資產(chǎn)進(jìn)行統(tǒng)一的管理和風(fēng)險(xiǎn)分析,有效降低整體安全風(fēng)險(xiǎn)。
安全開(kāi)發(fā)閉環(huán)
產(chǎn)品通過(guò)安全需求和漏洞處理的雙閉環(huán)機(jī)制保障軟件安全。與一般平臺(tái)內(nèi)閉環(huán)不同的是,漏洞處理閉環(huán)主要復(fù)用了軟件研發(fā)的缺陷管理流程工具,快速有效地接入到研發(fā)體系中,同時(shí)也降低了對(duì)研發(fā)團(tuán)隊(duì)地沖擊。
