服务概况

默安科技安全开发生命周期(SDL)服务包括SDL体系安全咨询、安全开发培训、源代码审计和渗透测试。该项服务将结合默安科技的雳鉴全流程软件安全开发框架,通过把交互式应用安全检测技术(IAST)嵌入安全开发、功能测试过程中,将安全介入时间前移,降低安全漏洞的处理成本。

服务诉求

漏洞处置的高成本

企业在发现漏洞,评估漏洞,以及处置漏洞的过程中,往往需要投入大量的人力及物力成本,漏洞处置效果却并不理想,特别是当漏洞处置需要涉及底层开发,在代码层面进行修复时更是如此。因此,在开发阶段消除潜在的漏洞非常必要。

安全测试的普遍缺失

相比于安全测试,开发团队更重视产品功能,但是如果以实现功能为最高目标,产品的安全性就无法得到保证;并且,在开发过程中要求进行安全测试会带来额外的工作量。

过度依赖开发框架

企业级开发为了提升开发效率和稳定性,会更多的依赖开发框架,但是却未考虑框架本身的安全性问题,也无法对框架本身进行安全测试。

DevSecOps体系的行业趋势

随着自动化技术的不断发展,DevOps模式在企业中越来越得到普及,产品从设计开发到部署运营,效率不断提升,产品迭代速度也越来越快,在整个过程中如何保证产品的安全性成为新的研究热点,DevSecOps的概念应运而生,也不断在行业中得到肯定和普及。

服务内容

SDL体系安全咨询

默安科技安全专家将通过安全访谈形式了解客户安全现状及安全需求,结合客户业务情况为客户编写SDL体系规范文档,协助客户确定安全角色的职责分工、协作,建立自己的安全开发和安全运营流程。

安全开发培训

安全开发培训主要面向开发人员,通过对常见的逻辑漏洞、编码漏洞案例成因讲解,增强开发人员的安全威胁建模和安全编码能力,减少系统设计和系统开发过程中引入的安全问题。

源代码审计

源代码审计是以白盒的形式对源代码进行深度审查,挖掘出源代码中存在的安全漏洞和安全缺陷。源代码审计可以弥补黑盒测试的不足,最大程度地发现应用层面存在的安全问题。

渗透测试

渗透测试是人工通过黑盒的方式,结合扫描器、社会工程学等手段对信息系统的网络层、系统层和应用层进行全面的安全测试。

服务优势

优化开发流程

通过应用雳鉴全流程软件安全开发框架,在不影响现有开发流程的情况下,融合代码的安全性测试,优化企业开发流程。

漏洞精准识别

雳鉴全流程软件安全开发框架能够准确识别各类代码级漏洞和业务漏洞,并给出漏洞处置意见,在开发阶段快速消除漏洞的影响。

建立培训机制

默安科技SDL服务通过建立培训机制,帮助客户深入理解安全测试在开发过程的重要性,并通过培训帮助客户更好地使用雳鉴全流程软件安全开发框架。