面临挑战

大多数安全漏洞发生在应用程序层

NIST曾发布过调查数据,75%的安全漏洞发生在应用程序层,而非以往认为的网络层,足见软件安全性问题。

软件上线后面临巨额的漏洞修复成本

在软件发布甚至上线运营后频繁出现严重安全问题,则将不仅会给软件发布者产生巨额的公关和漏洞修复成本,还会使其自身的品牌口碑、公信力带来巨大损害。

误报问题是研发安全建设的关键痛点

现有研发安全商业工具的误报问题,是研发安全建设中的关键痛点,误报问题导致的直接结果,是来自一线研发人员的安全落地阻力。

方案介绍

默安科技提供的SDL解决方案是一套拥有完整自研“服务+工具+平台”SDL全流程方案。

  • 服务

    普及性赋能

    针对性赋能

    常态化安全咨询

    安全驻场服务

  • 工具

    需求与架构阶段:
    基于业务场景的威胁建模(STAC)

    软件编码阶段:
    静态应用安全测试(SAST)

    软件测试阶段:
    交互式安全测试(IAST)

    上线阶段:
    常态化安全运营

  • 平台

    通过统一平台,将各流程的介入工具检测结果进行统一展示和操作,方便用户闭环安全问题、发现高频安全盲区以及进行安全量化统计。

方案架构

方案架构图

方案优势

  • 0门槛、无感知的安全测试

    业内首创0门槛、无感知的安全介入方案,不更改原有工作流程,不增加相关人员工作量,不更改其工作方式,从而实现更为有效的安全落地。

  • 统一的上线检测流程

    建设统一的交付前检测流程,设定红线级规定,要求交付项目必须通过默安科技SDL方案统一安全测试,且无特定中高危漏洞,从而实现对企业自身的统一上线检测流程建设和漏洞控制。

  • 低误报,高检出

    通过阶梯式检测方案,在研发不同阶段介入最为适合的检测方式和最优检测规则,确保在每个流程上都只检出真实漏洞,所有需要确认的漏洞,交由IAST过程使用真实漏洞攻击代码进行检测,确保更为有效的检出概率。

  • 国内唯一逻辑类漏洞自动检测方案

    能够自动化对水平越权、垂直越权、固定验证码等逻辑类漏洞进行安全检测,有效解决逻辑类漏洞检测难点。

  • 规范的漏洞回归流程

    通过一键回归测试功能,使用检出漏洞时的攻击代码重新进行攻击测试,真实确认漏洞修复状态,防止“规避式”漏洞逃避检测遗留上线。

  • 帮助企业拥有自主研发安全能力

    提升企业自身安全能力建设,通过私有化部署各环节方案,外加常态化安全咨询与赋能,真实提升企业自身安全能力,逐步减少对第三方安全服务的依赖,显著降低成本。

应用场景

  • 传统研发流程安全能力提升
  • 委外开发交付质量统一管控
  • Devops安全无缝建设
  • 安全能力增值输出
适用于传统研发流程安全能力提升,通过在研发框架的需求分析、架构设计、编码实现、功能测试以及上线维护各环节介入上述服务+工具+平台的全流程方案,可有效实现对各类研发项目的上线前安全管控。
针对委外开发交付项目,可设置红线级要求,保证其交付前必须经过特定功能测试环境的交付测试,从而有效实现对委外开发的交付质量管控。
默安科技SDL方案通过插件、开放API对接,可无缝对接已有Devops各流程框架,最终实现从Devops到DevSecOps的升级,有效提升自动化过程中的安全能力。
利用自身建设的默安科技SDL方案进行对外安全能力增值输出,扩大该方案的受益面,实现多方共赢。

即刻获取售前方案

点击申请