早预防、早发现、早响应：国舜全生命周期安全开发解决方案助阵安全保障闭环

国舜全生命周期安全开发解决方案以需求、设计、编码、测试、部署等开发阶段为主要对象，以业务安全和信息安全为出发点，通过流程、制度、规范的梳理，相关人员安全意识的培训，威胁资源库、安全测试资源库等相关资源的建设，为客户建设完善的开发安全管理体系和技术支撑体系，充分保障开发出来的业务系统满足业务安全和信息安全的需求，有效提升客户开发团队的安全意识和安全开发能力，实现信息安全的“早预防、早发现、早响应”。

国舜全生命周期开发安全服务涵盖需求、设计、编码、测试、部署等全阶段的安全咨询、安全培训、安全检测等服务。包括：

（1）需求阶段：安全需求流程和规范咨询服务、威胁资源库咨询服务、安全需求培训等。

（2）设计阶段：安全设计流程和规范咨询服务、安全设计培训等。

（3）编码阶段：安全编码流程和规范咨询服务；源代码审计流程、规范咨询服务；安全开发培训等。

（4）测试阶段：安全测试流程和规范咨询服务、安全测试资源库咨询服务、业务测试培训、安全测试培训、渗适测试培训、安全管理体系咨询服务等。

（5）部署阶段：上线流程、规范咨询服务；安全配置基线咨询服务；基线检测服务等。

安全开发组件库是面向企业应用系统的一站式应用安全解决方案，用于防范常见的应用系统安全漏洞，从攻击防御、 安全工具、业务安全功能等层面提升应用系统安全防护水平，帮助应用开发者低成本接入安全解决方案，全方位保障应用系统的安全性。

情景式安全需求分析平台主要由威胁资源库、安全需求分析、安全设计、安全测试用例四部分组成，通过用户对系统及业务场景的描述，利用成熟化威胁资源库和威胁分析方法论，对系统进行威胁分析和安全需求分析，对关键流程进行详细安全分析，最后为用户生成标准安全需求文档和安全设计建议，为开发人员提供安全开发指导。

程序分析是安全性检查的基础，通过提取程序信息，以便和安全性规则相匹配，从而检测出程序中存在的安全漏洞。该平台自身具有代码审计引擎，可以对通用组件等进行检查，同时也支持对Fortify SCA、FindBugs工具的接入，对Fortify SCA和FindBugs的审计结果进行二次分析，全面优化检测结果，提高安全审计的准确性。审计引擎根据输入的源程序、语法与语义，分析程序的结构与关键特征，从而获得程序的安全风险，并报告给用户。