安全開發(fā)一體化

背景 軟件作為數(shù)字經濟的最重要的助推器之一，早已滲透到生活的方方面面。無論是微信小程序、支付寶訂閱號、掌上/網上銀行、外賣、購物、交流，還是云平臺、操作系統(tǒng)、設備固件、數(shù)據(jù)庫、工業(yè)控制系統(tǒng)，都離不開軟件開發(fā)。 而云計算技術、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)網快速發(fā)展以及基礎設施的完善、標準化和安全性能力提升，使得軟件安全漸漸成了企業(yè)安全的突破口。然而對于企業(yè)而言，軟件安全做什么、怎么做以及怎么推進都存在一些的困難和問題亟待解決。

: 簡介

安恒信息根據(jù)安全開發(fā)生命周期領域多年的深入研究和分析，吸收了DevSecOps的思想，參考SDL相關方法論和成熟度模型的指導建議，結合自身在安全領域多年的經驗及技術積累，打造了專門針對安全開發(fā)的產品，旨在幫助用戶構建起完整、高效且高質量的安全開發(fā)體系，滿足軟件的安全性需求。

核心思想

產品：以安恒信息安全開發(fā)一體化平臺等產品為代表

1.借助標準化、自動化的特點，以高效的方式構筑安全質量基準線，創(chuàng)建共同安全目標。
2.借助產品/工具推進信息化、數(shù)據(jù)化，實現(xiàn)風險實時可視，及時發(fā)現(xiàn)盲點
服務：以SDL咨詢規(guī)劃、SDL實踐等服務為代

1.以人的創(chuàng)新性構筑符合企業(yè)現(xiàn)狀的規(guī)劃，推進產品實施、團隊協(xié)作。
2.以人的創(chuàng)新性覆蓋非典型案例（產品無法覆蓋），推動非典案例進行標準化。
3.以人才為基石，構建知識和培養(yǎng)體系，有效實施安全。

安全開發(fā)標準化基線

使用天璇模塊提供的安全需求與設計的能力，有效實現(xiàn)了安全需求知識沉淀，形成了安全需求、安全設計、安全測試的標準化知識庫，通過與業(yè)務邏輯進行組合分析，可勾勒出任何一個業(yè)務功能需要滿足的安全要求，也可隨時賦能給任何一個研發(fā)項目或者作為任何一個研發(fā)項目的安全驗收標準。
安全開發(fā)自動化能力

通過設計標準化的輸入輸出以及調用方式平臺支持封裝各類的安全工具，賦予了自動化的能力，大幅度降低了工具使用的門檻，又能將現(xiàn)有的成熟的安全產品的安全能力結合到安全開發(fā)體系中，使得效率大幅度提升，同時也強化了安全基線。
安全開發(fā)數(shù)據(jù)化

通過統(tǒng)一收錄各類安全工具的檢測結果并進行歸一化處理，為分析安全數(shù)據(jù)提供了強有力的保障。同時對開發(fā)相關的各類資產進行統(tǒng)一的管理和風險分析，有效降低整體安全風險。
安全開發(fā)閉環(huán)

產品通過安全需求和漏洞處理的雙閉環(huán)機制保障軟件安全。與一般平臺內閉環(huán)不同的是，漏洞處理閉環(huán)主要復用了軟件研發(fā)的缺陷管理流程工具，快速有效地接入到研發(fā)體系中，同時也降低了對研發(fā)團隊地沖擊。