近年来,各类软件应用程序的脆弱点引发了全球大量安全事件。
根据第三方权威调查显示,接近92%的已知安全漏洞都发生在软件应用程序中,且应用中每1000行代码至少出现一个业务逻辑缺陷。
CNVD数据显示,2020年安全漏洞数量创历史新高,其中应用程序漏洞占比超77%。
国内在大型攻防演练期间更是爆出大量0day漏洞,涉及用户群体庞大的多个OA及财务系统。
如何在应用程序上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题,从源头上避免安全事故,并满足国内外法律法规的安全要求,是摆在各企业及组织面前亟待解决的难题,而默安科技自主研发的完整“产品+服务+工具”SDL/DevSecOps全流程方案能够全面解决这一难题。
德比软件创立于2002年,是专业从事旅游网络营销系统的技术服务公司,约400人的员工分布于达拉斯、上海、北京、伦敦、东京和巴塞罗那等地。德比软件的产品如数据对接服务、数字营销服务、内容服务等为全球酒店业提供解决方案,且拥有全部产品的自主知识产权。目前,德比软件拥有超过全球24万家酒店数据,每月处理超过1000万间夜的订单。
由于该企业用户遍布全球,每日数据处理量庞大,因此自主研发的应用系统不但需要满足国内的《网络安全法》、个人隐私保护法等法律要求,还需遵守欧盟《通用数据保护条例(GDPR)》、《支付卡行业数据安全标准(PCI DSS)》等国外法律。如何规避合规风险和高额罚款是该企业面临的关键挑战之一。
例如在编码、测试阶段缺少相应的安全检测工具,上线前缺少安全评审、漏洞验证等工作,上线运维阶段缺少持续的风险监测等,导致漏洞发现不够及时和完整。
例如缺少防跨站注入等安全组件,缺乏持续的安全培训和漏洞的及时修复能力,整体抗风险能力亟待提高。
包括开发安全流程整体规范、应用安全设计规范、安全编码规范以及上线安全评审规范等。
默安科技通过一站式的开发安全解决方案,为该企业提供完整开发安全工具链,并配备全方位专家组,包括咨询专家、安全开发建设专家、攻防专家及方案专家,以“陪伴式服务”的方式帮助该企业在满足合规要求的同时,省心省力地完成全面开发安全能力的建设。
(1)提供完整工具链
根据白盒、黑盒、灰盒测试方法,提供默安科技的SAST、DAST、IAST,及SCA工具,覆盖软件开发过程中的编码、测试和上线等关键阶段。
(2)提供工具使用、安全技能与意识培训
-
默安科技专家对该企业研发团队中的关键岗位展开各类工具使用场景、使用方法的培训;
-
针对不同岗位,展开相应的技能培训,包括安全需求、安全设计、安全编码、安全测试等关键阶段必须具备的安全能力;
-
另外针对全体员工进行安全意识、开发安全流程等通识性培训。
(1)在应用系统的需求设计阶段
默安科技将数据安全融入前期的威胁建模和安全设计工作中,提出具体的数据应用场景风险和技术控制要求,包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。
(2)在编码测试阶段
默安科技的雳鉴IAST遵循个人信息保护法、 欧盟GDPR、PCI DSS等法规标准,帮助该企业快速检测应用系统中不合规的个人隐私数据处理行为,迅速定位存在隐私泄露风险的漏洞地址和代码位置,帮助开发人员快速定位和复现问题。
雳鉴IAST还提供详细的风险修复建议,供开发人员参考或提供专业安全服务,协助并指导开发人员完成漏洞修复。
根据开发项目进度,建立多个试点项目,以实际的安全效果和价值赢得该企业开发团队的信任;同时,默安科技安全专家采用“陪伴式服务”,将工作能力和执行细节融入项目开发流程,项目组人员不用付出额外精力,即可轻松掌握关键的安全控制方法。
