安全开发

服务概述

绿盟科技应用开发安全生命周期管理服务，以应用开发生命周期的架构为基础，对现有系统开发过程中所涉及到的安全操作进行概括、补充和完善，并将安全设计、安全编码、安全测试以及安全事件响应的传统安全技术融入到产品需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等应用开发生命周期的典型阶段中，从而系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑所带来的信息安全风险。

构建知识库

通过培训以及构建知识库，将技术工具和管理流程进行宣贯与知识转移

建立检查与考评机制

建立检查与考评机制，实现评价开发各阶段安全措施的落实情况

交付结果试运行

将交付成果在某研发项目中试运行
 

产品特性

绿盟科技应用开发生命周期安全管理服务，全面涵盖了系统开发生命周期的各阶段，组织和企业可根据自身实际情况，全部采用或进行相应的裁剪后使用。 应用开发生命周期管理过程需要业务人员、架构师、开发人员、运维人员和安全人员共同参与，通过完善的制度流程和对应的宣传培训达到最佳效果。

需求分析

识别关键安全目标； 安全目标路线图；

设计阶段

定义安全架构； 确定受攻击面； 识别威胁； 定义安全支付标准；

实施开发

应用编码规范； 使用安全测试工具； 使用代码分析工具； 代码安全人工审核；

测试验证

代码安全审核;集中式安全测试，
 

优势

• 自动化安全需求设计分析

          提供自动化安全需求设计分析服务，通过采用场景问答的形式，最终为用户生成可定制化的标准安全需求、安全设计文档以及安全测试文档。旨在将安全需求识别、威胁建模、安全设计等安全能力平台化，安全需求设计参考业界最佳实践，在保障系统安全的同时，大幅提升开发效率。

• 最丰富专家级安全开发知识库

          利用专家级知识库作为SDL流程的支撑，保障项目经理、开发人员、测试人员、运维人员无门槛理解应用，推进SDL流程正常流转，知识库包括安全需求库500+条目，安全设计库100+条目，安全测试用例库200+条目，安全威胁库700+条目。

• 安全缺陷管理闭环安全开发流程

          需求设计阶段提出安全需求设计，并给出参考测试方案，编码测试阶段进行对应安全测试，形成需求-设计-测试的安全开发管理闭环。
 

• 模块化架构可灵活扩展

          系统采用模块化设计，平台覆盖需求阶段、设计阶段、开发阶段、测试阶段四个阶段，针对各个阶段下面不同安全活动，可以选择和部署相应的安全功能及资源。

应用场景

 

系统的安全性切实得到改善

针对系统的业务需求和实际功能相结合，来制定具有明确安全目标的安全需求，并且通过可落地的安全分析和测试手段，引导并验证业务系统的安全功能，有效提升系统的自身健壮度。

开发团队安全能力提升

开发人员通过培训，掌握了开发中自查、互查的方法，了解了开发过程中应用程序可能存在的安全威胁，知道了如何规避安全漏洞，从而大幅度提升开发团队的安全能力。
降低安全防护成本

开发的安全管理工作在开发初期阶段即被发起，系统功能设计和实现充分考虑了业务的安全需求，安全问题在其萌芽状态即被消除，避免了开发后期“头痛医头，脚痛医脚”的被动局面，最终降低了以往由于系统存在设计缺陷而被迫采用外部防护手段的高成本。