安小默在2022年下发布过一篇《某股份制商业银行超大规模DevSecOps分布式部署实践》。

当时讲到，该银行应用系统数量庞大，多款应用系统的月活跃用户均达到亿级别，对应用系统的迭代速度、并发数量、稳定性、安全性等要求非常高。

默安科技经受住了这次考验，超大规模DevSecOps分布式部署在保证开发效率的同时，对研发工作的正常开展做到近乎零影响。

今天要讲的，是之后的故事。

随着金融行业数字化转型的加快，开发代码的快速迭代、系统应用的更新产生的高危漏洞，极易造成数据泄露和信息安全事件的发生。如何最大化发挥产品价值，高效、准确地检测安全漏洞并修复风险，保障业务系统上线前安全，也成为了这家银行接下来面临的重要课题。

经过长期在开发安全体系落地实践一线的磨炼，默安科技的技术运营专家们认为，开发安全建设无法依赖于单个产品，管理体系建设、流程与制度的运营，以及知识赋能都离不开高质量的陪伴式服务。在研发漏洞治理过程中，如果仅仅使用工具，可能会查出问题，但也只是“头痛医头，脚痛医脚”。只有通过服务帮助产品更深入地融入客户使用场景，才能真正从根本上解决问题，打造一个健全高效的研发漏洞治理体系。

下面讲几个小故事，一起看看默安技术运营团队如何通过雳鉴IAST交互式应用安全检测系统+陪伴式安全服务，深度参与该银行实际运营过程，为其解决阻碍开发安全能力提升的多个棘手问题。

IAST如何“丝滑”融入内部安全开发流程？

结合当前该银行已有的安全测试工具及测试流程，默安科技提供雳鉴IAST安全工具嵌入方案，覆盖企业整个安全测试区，主要负责流量的采集和安全扫描工作。其中，默安科技专家团队通过构建定制化的集群的反向代理，利用各地流量镜像获取测试网流量，帮助该银行实现轻量化管理IAST集群和场景优化，极大程度降低安全人员的人工成本，让安全测试流程更加便捷。

图 雳鉴IAST安全工具嵌入方案

结合该银行内部业务流程和场景，默安科技提供以雳鉴IAST为核心安全检测平台的DevSecOps集成方案。通过与安全团队、研发团队、测试团队、流水线团队深入交流，默安科技帮助该银行在标准DevOps周期中建立关键的安全原则，达成安全共识，其目的是让每个人都对信息安全负责，而不仅仅是安全人员。

安全测试要覆盖那么多环境，怎样做到？

该银行内部采取插桩模式和流量模式等不同检测方式，且安全测试需要覆盖测试环境、预发布环境和生产环境，不同环境下，如何采取不同的手段覆盖是其面临的一大难题。针对测试环境多样的现状，默安科技通过提供代理机制与实施方案，以覆盖手工测试环境；调研流量采集情况，提供横向拓展引擎方案，帮助该银行实现流量实时扫描全覆盖。

产品“水土不服”怎么破？

事实上，即使是一款功能再强大的产品，在客户部署使用的过程中，也常常会出现“水土不服”的现象，其本质是产品可用性和客户实际场景的贴合度问题。为了解决产品“水土不服”的问题，让雳鉴IAST更加贴合客户的实际业务场景，真正发挥产品价值，默安科技参与到客户实际运营过程中，对产品能力进行了针对性优化。

默安科技从项目需求、Agent需求、扫描需求、流量采集、系统层级以及报告内容等六个方面入手，对雳鉴IAST产品能力进行了以下优化：

●对请求录入功能进行改进，帮助客户解决无效请求录入和认证失效等问题；

●通过优化Agent，减少Agent对业务运行的侵入性，并将Agent所发现的信息最大化地帮助安全人员；

●对IAST扫描功能进行优化，提升客户内部安全运营效率；

●对流量采集功能进行优化，提升流量采集效率；

●丰富系统信息，并对数据存储功能，项目列表、漏洞列表等接口性能进行优化提升；

●为自动化生成报告提供可控选择，减轻IAST服务端压力及流水线压力，并将更为贴切的漏洞描述以及内容进行可控展示。

运营脚本多且杂，如何提升安全流程管理效率？

很多情况下，安全人员会依据工作需求进行脚本开发，需要耗费较多的时间和精力，同时运营脚本多又杂，缺乏对运营脚本的统一管理，导致内部安全流程管理效率低下。针对运营脚本多又杂的情况，默安科技通过梳理行内运行脚本，根据需求进行划分，并提供相关模块进行调用；使用精细化集群管理+项目模板的形式进行项目创建，替换原先多设备管控依靠脚本的形式，帮助该银行实现自动化管理运营脚本，提升内部安全流程管理效率。

先客户之忧而忧，漏洞响应快人一步

为了适应该银行的开发安全建设及行标要求，默安科技从配置类型、能力优化、场景优化、监管要求、能力丰富等方面，对雳鉴IAST安全漏洞检出能力进行了丰富和优化。

在与该银行业务的不断磨合过程中，雳鉴IAST的安全能力也得到进化，从以往依赖于产品内置的漏洞库进行风险检测，到现在能够灵活响应客户需求，实时更新安全漏洞信息，并更新对应的安全策略。雳鉴IAST根据各类风险不断积累的安全策略与能力，构成安全开发的“最强大脑”，帮助该银行持续优化完整的安全开发体系。

提升漏洞检测效率，助力业务安全上线

截至2023年12月，默安科技雳鉴IAST协助该银行共计发现高危漏洞4.5w+，中低危漏洞10w+，总项目数高达15w+，日活项目数3000+，DevSecOps智能化运营脚本40+，漏洞检出率得到大大提升，误报率达到极低水平。通过雳鉴IAST的嵌入将安全性集成到开发流程中，可以减少在开发过程中出现的安全漏洞，有助于及早发现并修复安全问题，并减少潜在的漏洞和攻击面，为业务系统上线提供强有力的保障，帮助该银行更高效地交付安全可靠的产品和服务。

在今天的故事里，默安科技通过高质量的陪伴式服务，深度参与该银行内部实际运营，贴近场景优化产品能力和解决方案，帮助该银行真正发挥产品价值，有效解决实际安全问题，打造一个落地、高效的研发漏洞治理体系。这与默安科技长期秉承的“可持续安全运营、注重实际运行效果”的理念高度一致，也是众多行业客户选择携手默安科技的重要原因之一。未来，默安科技将继续深耕开发安全领域，致力于成为更多客户值得信赖的安全伙伴。