重慶銀行：開發安全管控平臺

案例名稱

重慶銀行開發安全管控平臺

案例簡介

隨著重慶銀行數字化轉型進程的深入推進，研發流程也在不斷更新，以滿足現有業務需求。開發模式也正在向敏捷及DevOps迭代，但是在這種復合開發模式的情況下，安全管控及安全檢測能力難以適應現狀。重慶銀行在原有的安全能力的基礎上，引入安全開發管控平臺，建立配套管理規范和檢測能力，在適配當前及踐行未來開發流程的條件下建設落地SDL安全運營體系，前置安全管控措施，提升信息系統內生安全，筑牢金融數字安全“防護堤”，護航我行數字化轉型安全、穩定。

創新技術/模式應用

通過開發安全管控平臺的建設，結合安全左移的理念將威脅建模融入到軟件生命周期的設計階段，從根源上介入安全管控，針對自研項目、第三方項目在軟件生命周期的不同階段，引入適合的安全檢測工具實現自動化安全風險分析、質量管控及漏洞信息的分發流程管控，優化工作流程，提升應用安全的管理效率和運營能力，降低漏洞修復成本，最終實現基于應用開發安全管控平臺的SDL運營體系，保障安全風險的高效治理。平臺主要創新點如下：

1.基于場景化的輕量級威脅建模技術。通過情景式問卷形式，結合實際業務需求，場景化輕量級威脅建模，識別相關安全威脅點，并且提供相關安全消減措施和驗證方案，從源頭上管控早期威脅，提出相關設計要求和安全參考編碼規范等內容，為研發測試提供安全依據。

2.安全工具鏈智能編排技術。通過完善成熟的開發流程及DevOps系統對接方案，支持眾多的商業或自研的流水線平臺。同時，該方案支持檢測工具插件化支撐和工具鏈集成，實現將行內現有及未來引入的安全工具進行統一化管理，解決當下軟件應用漏洞管理中普遍存在的漏洞發現能力孤立、漏洞管理難閉環、開發流程難管控等核心痛點問題。

3.SCA應用組件安全威脅分析技術。通過對二進制軟件的組成部分進行識別、分析和追蹤，挖掘第三方基礎組件/可執行程序/源代碼等類型以二進制形式存儲的文件中存在的安全風險或運行缺陷，提出修正措施和建議，保障軟件要素安全可靠。

4.基于agent動態代碼安全分析技術。通過服務端部署Agent微探針Hook方法，收集、監控web應用程序運行時函數執行、數據傳輸，并與掃描器引擎端進行實時交互，高效、準確地識別安全缺陷，漏洞覆蓋主流OWASP Top 10以及 CWE Top 25等漏洞，同時，可在鎖定漏洞所在的代碼文件、行數、函數及參數的基礎上實現安全檢測的高準確率。

5.漏洞全生命周期關聯分析技術。漏洞全生命周期關聯分析技術具有跨平臺、分層、模塊化、可組合、可伸縮的體系架構；各項功能模塊之間具備良好的功能擴展性和開放性。

6.智能化安全檢測能力，構建金融安全閉環管理“數字化”。平臺對現有開發安全管理制度、技術規范、流程進行固化，形成標準化安全管控流程，同時通過平臺加強安全開發過程中的數據分析，與各個開發環節形成正循環，提升安全開發工作效能。該方案聚焦早期開發需求分析、架構設計階段的威脅建模，重點解決當下軟件應用漏洞管理中普遍存在的漏洞發現能力孤立、漏洞管理難閉環、開發流程難管控等核心痛點問題，從開發源頭開始將安全專家團隊的安全能力持續賦能給傳統IT項目人員，使安全思想注入DevSecOps/SDL全生命周期，幫助我行流程化、自動化、持續化地保障業務安全。

構建SDL安全運營體系，助力金融數字化轉型。通過設定標準化安全管控流程，實現安全開發體系的制度支持；對于安全工具鏈引入，賦能研發流程中相關角色在進行本職工作的同時，保證輸出的制品經過安全工具的校驗，實現安全開發體系的能力支持；對于多種研發流程和場景進行全量的對接與適配，實現開發安全體系的流程支持。通過制度、能力以及流程上的支撐，將安全賦能全流程中的每一個環節，實現安全的全方位覆蓋以及前置左移，落地SDL安全運營開發體系。

項目效果評估

通過開發安全管控平臺建設，構建全面的技術標準庫，合規標準庫以及基礎知識庫等，實現對安全知識庫的統一管理，為研發人員及安全管理人員提供安全管理依據。以下是平臺建設所取得的成效：

1、統一化平臺，提升管理效率。平臺將安全專家能力持續賦能給傳統IT項目人員，使安全思想注入軟件全生命周期，形成統一的安全風險處理流程。從需求提出、風險發現到安全需求驗證，實現全流程閉環管理幫助企業流程化、自動化、制度化地保障業務安全。平臺自上線以來已完成我行所有新建及重要信息系統接入管控，開發過程中應用安全漏洞平均數降為1.3個，單個漏洞修復周期從7人天降至1人天，并且漏洞復測無需人工介入。

2、融入開發過程，運營能力提升。建立完善豐富的安全工具鏈體系，持續賦能研發測試人員安全測試能力，提前發現安全風險，提升漏洞檢出率及覆蓋面，集合全生命周期的漏洞管理流程，建立安全持續運營過程。

3、標準化左移體系，構造DevSecOps體系基礎。在軟件開發測試階段無縫嵌入安全測試，不僅可實現理想的DevSecOps安全開發全流程，收斂安全工作，也可以在一定程度上覆蓋部分人工滲透難以測試覆蓋的業務點，高效實現應用上線前的安全審查，防止應用帶病上線，實現安全左移，降低安全修復成本，源頭解決應用內部風險。

在當前網絡安全形勢復雜、企業數字化轉型的關鍵階段，從源頭開展安全治理成為企業數字安全建設的重要手段。重慶銀行開發安全管控平臺已成為信息系統內生安全的重要催化劑，未來將持續秉承“安全左移”理念，以金融數字化安全為目標，深入推進軟件安全治理，構建全行一體化安全運營體系，助力全行數字化轉型高質量發展。

項目牽頭人

顧方方 重慶銀行科技部副總經理

項目團隊成員

汪洪珍、唐福喜、陽方升、徐寧、林真偉、劉暢、熊玉、聶志宏、謝昌建

責任編輯：王超