案例名称
(相关资料图)
重庆银行开发安全管控平台
案例简介
随着重庆银行数字化转型进程的深入推进,研发流程也在不断更新,以满足现有业务需求。开发模式也正在向敏捷及DevOps迭代,但是在这种复合开发模式的情况下,安全管控及安全检测能力难以适应现状。重庆银行在原有的安全能力的基础上,引入安全开发管控平台,建立配套管理规范和检测能力,在适配当前及践行未来开发流程的条件下建设落地SDL安全运营体系,前置安全管控措施,提升信息系统内生安全,筑牢金融数字安全“防护堤”,护航我行数字化转型安全、稳定。
创新技术/模式应用
通过开发安全管控平台的建设,结合安全左移的理念将威胁建模融入到软件生命周期的设计阶段,从根源上介入安全管控,针对自研项目、第三方项目在软件生命周期的不同阶段,引入适合的安全检测工具实现自动化安全风险分析、质量管控及漏洞信息的分发流程管控,优化工作流程,提升应用安全的管理效率和运营能力,降低漏洞修复成本,最终实现基于应用开发安全管控平台的SDL运营体系,保障安全风险的高效治理。平台主要创新点如下:
1.基于场景化的轻量级威胁建模技术。通过情景式问卷形式,结合实际业务需求,场景化轻量级威胁建模,识别相关安全威胁点,并且提供相关安全消减措施和验证方案,从源头上管控早期威胁,提出相关设计要求和安全参考编码规范等内容,为研发测试提供安全依据。
2.安全工具链智能编排技术。通过完善成熟的开发流程及DevOps系统对接方案,支持众多的商业或自研的流水线平台。同时,该方案支持检测工具插件化支撑和工具链集成,实现将行内现有及未来引入的安全工具进行统一化管理,解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。
3.SCA应用组件安全威胁分析技术。通过对二进制软件的组成部分进行识别、分析和追踪,挖掘第三方基础组件/可执行程序/源代码等类型以二进制形式存储的文件中存在的安全风险或运行缺陷,提出修正措施和建议,保障软件要素安全可靠。
4.基于agent动态代码安全分析技术。通过服务端部署Agent微探针Hook方法,收集、监控web应用程序运行时函数执行、数据传输,并与扫描器引擎端进行实时交互,高效、准确地识别安全缺陷,漏洞覆盖主流OWASP Top 10以及 CWE Top 25等漏洞,同时,可在锁定漏洞所在的代码文件、行数、函数及参数的基础上实现安全检测的高准确率。
5.漏洞全生命周期关联分析技术。漏洞全生命周期关联分析技术具有跨平台、分层、模块化、可组合、可伸缩的体系架构;各项功能模块之间具备良好的功能扩展性和开放性。
6.智能化安全检测能力,构建金融安全闭环管理“数字化”。平台对现有开发安全管理制度、技术规范、流程进行固化,形成标准化安全管控流程,同时通过平台加强安全开发过程中的数据分析,与各个开发环节形成正循环,提升安全开发工作效能。该方案聚焦早期开发需求分析、架构设计阶段的威胁建模,重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题,从开发源头开始将安全专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入DevSecOps/SDL全生命周期,帮助我行流程化、自动化、持续化地保障业务安全。
构建SDL安全运营体系,助力金融数字化转型。通过设定标准化安全管控流程,实现安全开发体系的制度支持;对于安全工具链引入,赋能研发流程中相关角色在进行本职工作的同时,保证输出的制品经过安全工具的校验,实现安全开发体系的能力支持;对于多种研发流程和场景进行全量的对接与适配,实现开发安全体系的流程支持。通过制度、能力以及流程上的支撑,将安全赋能全流程中的每一个环节,实现安全的全方位覆盖以及前置左移,落地SDL安全运营开发体系。
项目效果评估
通过开发安全管控平台建设,构建全面的技术标准库,合规标准库以及基础知识库等,实现对安全知识库的统一管理,为研发人员及安全管理人员提供安全管理依据。以下是平台建设所取得的成效:
1、统一化平台,提升管理效率。平台将安全专家能力持续赋能给传统IT项目人员,使安全思想注入软件全生命周期,形成统一的安全风险处理流程。从需求提出、风险发现到安全需求验证,实现全流程闭环管理帮助企业流程化、自动化、制度化地保障业务安全。平台自上线以来已完成我行所有新建及重要信息系统接入管控,开发过程中应用安全漏洞平均数降为1.3个,单个漏洞修复周期从7人天降至1人天,并且漏洞复测无需人工介入。
2、融入开发过程,运营能力提升。建立完善丰富的安全工具链体系,持续赋能研发测试人员安全测试能力,提前发现安全风险,提升漏洞检出率及覆盖面,集合全生命周期的漏洞管理流程,建立安全持续运营过程。
3、标准化左移体系,构造DevSecOps体系基础。在软件开发测试阶段无缝嵌入安全测试,不仅可实现理想的DevSecOps安全开发全流程,收敛安全工作,也可以在一定程度上覆盖部分人工渗透难以测试覆盖的业务点,高效实现应用上线前的安全审查,防止应用带病上线,实现安全左移,降低安全修复成本,源头解决应用内部风险。
在当前网络安全形势复杂、企业数字化转型的关键阶段,从源头开展安全治理成为企业数字安全建设的重要手段。重庆银行开发安全管控平台已成为信息系统内生安全的重要催化剂,未来将持续秉承“安全左移”理念,以金融数字化安全为目标,深入推进软件安全治理,构建全行一体化安全运营体系,助力全行数字化转型高质量发展。
项目牵头人
顾方方 重庆银行科技部副总经理
项目团队成员
汪洪珍、唐福喜、阳方升、徐宁、林真伟、刘畅、熊玉、聂志宏、谢昌建