案例分享 | 某大型汽车企业的软件开发安全进阶之旅

该企业为国内某大型汽车集团。 开发迭代速度加快、软件供应链风险复杂等内外部环境变化给该企业带来了新的挑战。 一方面，该企业研发模式由瀑布模型向敏捷化、DevOps持续演进，低代码/零代码、自助开发等在提升开发迭代效率的同时，也带来了爆发式API、组件复用复杂化等安全挑战； 另一方面，软件供应链风险占比增加，地缘政治因素引发断供风险，开发安全亟需深入供应链管理。

基于以上背景与现状，该企业搭建了一套安全管控流程，通过E化流程加表单的方式来管理信息系统的开发安全，覆盖从需求定级到详细设计再到上线等阶段，形成了上线安全质量卡点。然而，实际运行中仍然存在诸多问题：一是流程未贯通，开发团队不知如何设计安全的产品，过程把控不足，没有形成知识库；二是开发缺乏赋能，安全检测工具、检测规则没有形成标准化，开发团队各自为战，检测结果差异大、效率低。

该企业基于原有的安全管控E化流程，以金融行业的先进经验和做法为参照，并依据软件开发安全国家标准，提出了开发安全建设从1.0提升到2.0的计划，涵盖体系建设、工作机制、工具应用、知识沉淀以及组织保障等多个方面。

该企业信息安全部门负责人表示，“集团将软件作为一项核心竞争力，安全为软件开发提供了重要保障，从而为企业数字化转型打下坚实的基础。”该负责人认为，在开发安全从1.0迈向2.0的过程中，应当从业务与安全两个方面共同打造未来的开发安全。短期来看，首先需要打造一个开发安全流程管理平台，将原有的安全管控流程平台化、自动化，然后以该管理平台为核心，在关键环节引入相应的工具，包括威胁建模、软件成分分析和安全测试工具。长期来看，希望把软件开发安全的流程和工具全部融入到软件开发平台中，一旦有安全事件产生，能够做到快速定位安全问题或组件漏洞，并第一时间进行修复，确保整个软件的出厂及运营的安全，从而更好地支撑业务的数字化转型和发展。

作为国内首批开辟开发安全业务的厂商，默安科技多年来深耕左移开发安全领域，具备业内领先的完整DevSecOps方案和丰富的落地经验积累。在经过谨慎的市场调研与产品选型后，该企业最终选择携手默安科技，共同建设开发安全流程体系。默安科技通过实际调研交流，针对该企业开发安全管控流程复杂低效的现状，打造了一套集工具化、平台化、自动化为一体的开发安全解决方案，协助该企业完善开发过程中的流程与规范，全面护航企业数字化转型之路。