产品介绍

在软件开发生命周期中,不同阶段修复安全漏洞的成本差距非常大,研发阶段与运行阶段的修复成本甚至能够相差数百倍,因此,对于企业来说,把漏洞发现在萌芽状态,防止应用带病上线,是一项非常有价值的工作。

雳鉴全流程软件安全开发平台是默安科技自主研发的一款SDL安全研发流程实践产品,通过从开发到运营的安全测试管理流程,让企业人人都参与安全测试和漏洞检测,从而保证安全贯穿于软件开发全生命周期的每一个环节,消除上线前的代码安全问题,解决99%的高危漏洞。

产品功能

需求和架构阶段

基于业务场景的威胁建模(STAC)

基于用户的业务场景,雳鉴对业务单元进行威胁建模,分析业务的安全设计与实现的合理性,提供从宽松到严格的安全建议。

软件开发阶段

与程序员对话的白盒测试系统(SAST)

雳鉴交互式白盒系统提供桌面化的IDE交互代码安全提示,以及基于代码仓库的安全巡检,不让一处有安全隐患的代码上线。可应用于iOS、Android、Java、.Net等多种操作系统和语言环境。

软件测试阶段

人人都能用的黑盒安全测试(IAST)

雳鉴交互式黑盒系统零门槛进行安全测试,快速建立企业内部安全众测模式,在不增加测试工作量的基础上,零成本完成项目安全测试;同时,雳鉴交互式黑盒系统支持逻辑漏洞自动化扫描, 并能与交互白盒安全测试系统联动,低成本完成漏洞修复。

产品优势

让企业人人都成为安全专家

雳鉴利用被动扫描的方式协助非安全人员完成系统的漏洞测试,不仅解决传统黑盒扫描方式中爬虫功能的局限性,而且让每一个参与测试人员都可以成为安全专家,大大减少企业安全测试人员的人力成本。

上线前消灭99%的高危漏洞

雳鉴的漏洞检测类型丰富,可以有效检测出SQL注入、XSS跨站、上传组件漏洞、应用服务漏洞等,使用集群化技术,及时生成漏洞报表,帮助用户及时的解决安全隐患。

业务逻辑漏洞检查

支持检测水平越权漏洞、垂直越权漏洞、登录接口爆破,从黑客视角对常见的业务场景进行威胁建模,针对这些场景可能会出现的安全问题进行定制化自动扫描,其中水平越权漏洞可覆盖越权遍历用户订单、越权遍历用户资料、越权绑定邮箱、越权绑定手机等常见业务问题。

帮助企业建设真正的安全研发生命周期

企业建立人人都对安全负责的安全研发生命周期流程是大势所趋,在这个过程中安全团队扮演专家的角色,致力于更好地优化整个流程;而安全细节由所有人一起完成,整个企业安全效率和质量及关注度都得到全面的提升。

成功案例

客户简介

该客户成立于1997年,是国内首批上市的城市商业银行之一,已跻身全球前200家银行之列,目前资本净额超670亿元,总资产超9500亿元。

业务挑战

随着客户业务的快速发展,日益面临开发周期中安全介入的时间靠后,以及与系统迭代发布的协作中安全滞后的问题;另外,客户外包的研发项目较多,代码质量很难全面把控,项目漏洞分散在各个开发小组当中,难以在统一的平台做好漏洞管理。

解决方案

通过旁路部署雳鉴软件开发全流程框架,在不影响功能测试的情况下,安全测试工作和系统的功能测试工作同步进行。对所有项目的安全工作进行高度可视化且可持续化管理,从而建立起一套从开发到运营的安全测试管理流程,使安全成为整个IT团队每个人的责任,让安全贯穿于开发到运营的整个业务生命周期。

方案价值

默安科技帮助客户赋予非安全人员安全检测能力,将安全漏洞检测和修复工作提前,降低安全修复的成本;打破传统扫描器功能的局限性,实现全面、快速、深度、细粒度的安全漏洞检测;助力客户逐步形成一套有效的漏洞管理工作流程,使SDL体系能够更好的落地。

客户反馈

客户相关安全负责人表示,之所以选择与默安合作, 是看重其在安全领域丰富的企业安全实践和持续的产品与技术创新能力,默安对于研发过程中安全“赋能”的理念,对商业银行来说非常具有实践意义。

雳鉴-DevSecOps理念实现

产品试用、合作咨询请联系:0571-57890068