软件在开发过程中，会遇到相应的开发安全问题，一是软件自身存在错误和缺陷引起的安全漏洞，二是来自外部的攻击。良好的软件开发过程管理可以很好地减少软件自身缺陷，并有效抵御外部的攻击。而 DevSecOps则通过一套包含了人文、流程、技术的框架和方法，把安全能力无缝且柔和地嵌入现有开发流程体系，它有助于在开发过程早期而不是产品发布后识别安全问题，让每个人对信息安全负责，而不仅仅是安全部门。

DevSecOps 是一场关于 DevOps 概念实践或艺术形式的变革。包含的关键能力有“功能流程设计的高效和可落地性”、“安全开发生命周期各个节点合规安全基线的建设能力”、“安全工具链的集成能力和自动化能力”“检测工具的风险问题检出率”。并可构建基于应用的全生命周期安全运营体系，让安全贯穿整个业务生命周期（从开发到运营）的各个环节，包括技术开发、测试、上线及运营等各个阶段的安全赋能。

安全开发面临诸多挑战，安全事件无法形成数据关联、感知安全风险；应用开发外包比例高，风险不可控；安全开发规范与业务部匹配；没有形成整体安全能力；安全问题修复成本高等。针对以上痛点，爱加密可提供以企业应用安全开发全周期为基础，以安全基线、安全开发指引、资产管理、开源组件漏洞扫描、源代码审计、安全运维管理等为核心，集成第三方安全工具的安全开发管控平台，帮客户实现安全开发知识化，安全管理统一化、安全运营标准化。

爱加密安全开发管控平台，应用开发全周期管理流程包括立项、需求、设计、开发、测试、部署、运维，通过对各阶段流程的梳理、评审机制的建立、相关资源库的建设，通过数据接口收集各阶段安全数据、开发数据及漏洞样本，并运用大数据、知识图谱及AI等核心技术，实现应用开发全生命周期的智能安全管控，使得安全态势可视化、安全数据仓库化、安全指标评价精细化、安全功能调度便捷化。

01 平  台  架  构

02 主  要  功  能

立项及风险评估：

基于行业实践的系统安全风险等级评估模型、安全能力评价模型和流程裁剪机制，快速定位重点/高风险系统，实现与开发团队的动态反馈互动机制。

安全需求分析：

结合行业国家标准、银行业监管规范、金融威胁资源库等内容，智能化分析安全需求。充分利用16类500+个威胁点资源库、1000+条监管条文，实现安全合规、业务安全、应用安全、数据安全、通信安全、客户端安全等需求分析，做到更具针对性和目的性。

平台示例

安全设计方案：

确立安全需求之后，通过安全设计知识库生成安全设计文档，再通过攻击防御类、工具支持类等安全组件的运用，结合在线安全设计评审，最终形成设计方案。

安全编码检测：

通过项目管理模块、统计报表管理模块、快速检测模块、报告管理模块及用户管理模块的综合运用，可实现自动检测、智能审计、业务逻辑漏洞检测等功能。

在线安全评审：

提供在线评审功能，基于金融行业实践的上线前检查表；自动汇总各个阶段文档；自动汇总前述各阶段数据填充检查表，辅助评估，提升效率。

运维资产管理：

上线前与上线后双向软件资产发现，完整的企业级软件资产管理能力；支持开源代码组件框架及同源性分析，实现开源代码管理和开源代码漏洞管理。

03 核  心 优  势

丰富的安全知识库、安全组件库及安全工具库，多年行业安全开发经验的积累，众多安全专家的知识沉淀，为安全需求落地实施提供技术支撑。

高效合理的安全管理流程，合理设置安全控制流程和控制点，上线效率及系统安全显著提升，降低安全开发成本。

基于DevSecOps的开发运维闭环管理，系统前端（APP等）到服务端的全覆盖，基于机器学习的持续改进能力，实现对业务创新与发展的持续支撑能力。

开发全生命周期智能化支撑，轻量化-模块化、可配置、全对接，提升安全运维能力，基于于零信任、纵深防御的安全组件威胁检测和告警能力。