比瓴科技正式加入上海金融科技产业联盟-创新监管联合实验室(以下简称:实验室),愿携手实验室共同促进沪金融科技创新发展。
上海金融科技产业联盟(以下简称联盟)是由上海国际集团倡议发起,人行上海总部、银保监上海监管局、证监会上海监管局、市金融局、市国资委、市经信委、市科委8家监管机构和政府部门出任联盟指导单位,成立的上海金融科技领域第一个市级产业联盟。
实验室是联盟设立的跨界金融科技创新合作平台,致力于为金融要素市场、金融机构、科技企业提供协同创新机制,发现、培育、储备一批创新型科技企业和创新项目,为上海金融科技创新监管试点提供支撑,推动前沿技术与金融场景深度融合,打造面向市场的金融科技生态圈。
上海比瓴作为华东地区的营销服务中心,具备成熟的技术咨询服务能力,可面向银行、证券、基金、保险等金融行业提供集安全产品与安全服务于一体的平台化解决方案,帮助企业建立高效敏捷的开发安全管理体系。
某城市商业银行SDL体系建设案例
项目背景
某城市商业银行于2021年推动SDL体系建设,在体系落地过程中,发现存在以下问题:
1)缺乏对软件设计人员标准化规范化的指引和约束,导致软件设计频频出现安全缺陷;
2)同类型漏洞反复出现,漏洞数量仍然居高不下,修复成本未见明显下降;
3)应用安全测试工具与开发流程未能有效整合,安全测试覆盖面相对不足;
4)安全开发全流程安全管控能力不足,安全活动质量门禁仅依靠上线前的渗透测试和线下评审会议。为解决以上问题,开展本项目建设。
建设内容
比瓴科技在深入了解该银行的开发安全现状与业务需求后,制定了SDL安全开发计划提升路线图,建立以安全活动集中管控、研发安全能力赋能、统一线上评审的SDL落地解决方案。基于我公司自研产品应用安全平台,实现可持续的开发安全能力提升和有效安全左移。
安全需求设计智能化:基于应用安全平台,构建安全开发知识库,通过场景化需求问卷实现应用风险评级、变更范围分级和安全需求分析能力。需求问卷按业务场景关联安全需求、安全设计、合规要求和风险管理需求等安全基线,实现智能化的威胁建模和开发工作流程分级管控。
安全测试工具自动化:通过应用安全平台,整合行内SCA、SAST、IAST等安全测试工具。由平台统一管理检测任务,根据不同场景需求,灵活调度各类安全工具执行特定剧本,实现自动化的检测能力,并对检测数据进行统一管理。
安全开发全流程一体化:通过应用安全平台,将安全需求分析、安全开发实施、安全测试验证、上线发布管理任务活动,以安全开发工作流的方式,整体对接融入客户内部的应用开发全流程平台,打通项目应用的需求信息、应用信息、人员部门信息,实现了在不改变现有研发流程的情况下,完成全流程安全活动的集中管控。
项目价值
项目建设完成后,经过试点推广发现,可有效解决该行之前在各软件开发中心推广SDL遇到的难点问题,实现了全行安全开发能力的提升。主要表现为:
1)识别的安全需求数量上升,设计阶段安全缺陷明显减少;
2)安全测试工具使用率提升,安全测试覆盖面显著扩大;
3)应用上线后安全漏洞数量明显下降。
比瓴科技将遵循上海金融科技产业联盟互利、合作的理念,以开放交流、前沿展示、合作共赢、生态创新为宗旨,为联盟打造金融科技中心提供技术支撑。
比瓴科技专注于软件供应链安全领域,以AI和数据为核心提供覆盖全场景的软件供应链安全产品和安全咨询服务。打通应用安全数据孤岛,实现安全运营过程自动化,增强应用软件资产风险可视性,为软件安全保驾护航。