主要观点总结
本文介绍了随着信息技术在证券期货业的广泛应用,架构管理的重要性日益凸显。为适应行业发展需求,规范信息技术架构管理流程,降低安全风险与成本,证监会发布了《证券期货业信息技术架构管理指南》。默安科技安全专家针对该指南进行了解读,强调了从架构设计到上线运行的全流程安全管理要求,并介绍了默安科技的两款产品——雳鉴SAST静态应用安全检测系统和雳鉴SCA软件成分分析系统的特点和优势。
关键观点总结
关键观点1: 《指南》强调全流程安全管理要求
在架构上线或变更前,应对架构的执行程序、源代码进行严格审查、测试,确保运行质量安全。同时,进行事前合规审查,避免法律纠纷。
关键观点2: 源代码安全检测的重要性
在架构上线或变更这一关键决策点,源代码安全检测系统发挥着不可替代的作用。默安科技的雳鉴SAST可以融入软件研发流程,对多种主流编程语言编写的源代码进行全面扫描。
关键观点3: 软件成分风险排查的必要性
在架构上线或变更前,需全面掌握软件成分风险状况,及时发现并修复潜在安全漏洞,确保运行质量。默安科技的雳鉴SCA专注于软件成分风险的排查,能够无缝对接代码仓库和组件库,进行全方位评估。
关键观点4: 岗位设置与目标执行
《指南》通过对岗位和职责的精细划分,以更有效地执行各项要求,保障企业战略目标的落实。默安科技的产品能够参与包括应用系统架构需求设计、安全质量审查等多个重要环节的能力建设,帮助证券期货业机构高效执行《指南》中的各项要求。
关键观点5: 默安科技产品的优势
默安科技的产品方案与《指南》深度契合,为证券期货业机构提供全方位、多层次的信息技术架构安全保障。其产品和服务包括自主可控的安全保障、全面的行业适配、确保合规以及持续的服务支持和技术创新等方面的优势。
正文
随着信息技术在证券期货业的广泛应用,架构管理的重要性日益凸显。为适应行业发展需求,规范信息技术架构管理流程,降低安全风险与成本,证监会近日发布《证券期货业信息技术架构管理指南》(以下简称《指南》),给行业机构在信息技术架构管理方面提供明确的规范和指引,强调了从架构设计到上线运行的全流程安全管理要求。默安科技安全专家基于在证券期货业的长期研究与落地积累,针对《指南》中的安全要求进行了相关解读。
要点一:上线/变更前审查
“架构上线或变更升级前,应对架构的执行程序、源代码进行严格审查、测试,确保运行质量安全。
对信息技术架构知识产权、版权、专利、商标、声明等进行事前合规审查,可根据需要引入第三方审查服务,通过审查架构的自主性和可用性,避免法律纠纷。”
在证券期货业,业务的快速发展和创新驱动着信息技术架构的变更与升级。每一次架构上线或变更都是一次关键决策,因为一旦出现安全漏洞,可能导致交易中断、数据泄露等严重后果,从而带来巨大损失。从《指南》中也不难理解,在这个过程中,对架构的执行程序和源代码进行严格审查、测试至关重要,需要确保新架构在投入生产环境前运行质量达到最高安全标准,以保障业务的连续性和稳定性。
源代码安全检测
在架构上线或变更这一关键决策点,源代码安全检测系统发挥着不可替代的作用。在架构上线或变更前,对源代码进行深度审查、测试,如同为架构的稳固性进行一次全面“体检”,及时发现并修复潜在安全漏洞,确保运行质量达到最高安全标准,有效防范因源代码安全问题引发的系统风险。
默安科技雳鉴SAST静态应用安全检测系统(简称雳鉴SAST)可以融入软件研发流程,不仅支持多种代码获取方式,依托于代码安全分析引擎,还可对行业常用的Java、Python、C++等主流编程语言编写的源代码进行全面扫描。
软件成分风险排查
在架构上线或变更前,证券期货业机构需全面掌握软件成分风险状况,避免因使用存在安全隐患或合规问题的组件而给架构带来风险,及时发现开源组件中的已知漏洞,确保架构中的软件成分安全可靠,为架构的稳定运行提供有力支持。
默安科技雳鉴SCA软件成分分析系统(简称雳鉴SCA)专注于软件成分风险的排查,能够与代码仓库以及组件库无缝对接,精准识别项目变更中引用的第三方组件及其版本信息。基于默安科技自研的文件指纹检测及依赖分析技术,对第三方组件的风险等级、安全漏洞、许可证合规性等进行全方位评估。
“岗位设置目标是对架构管理岗位职责进行划分,更有效地执行各项具体要求,保障企业战略目标的落实。证券期货业机构可设立系统架构师、质量检查员、安全监测员岗位,并定义各工作岗位职责,对架构建设、质量审查、运行监测、数据安全和应急响应等重要环节负责。”
《指南》通过对岗位和职责进行精细划分,在推进业务和新技术融合的同时,也对安全建设提出了新的要求,目的是为了在符合业务和安全的整体管控前提下,业务系统能够长期、稳定、安全地运行,进而为企业战略目标的落地生根构建稳固基石,这和默安科技整体的产品布局和目标高度契合。默安科技通过对包括证券期货业在内的客户群体开展长期研究,可以针对各行业特点和安全要求实施不同的落地方案。在证券期货业,默安科技产品能够参与包括应用系统架构需求设计、安全质量审查、数据安全风险检测等多个重要环节的能力建设,帮助证券期货业机构高效执行《指南》中规定的各项要求。
软件成分风险全生命周期管理
雳鉴SCA基于其软件成分分析与风险检测的核心能力,通过与组件库、代码仓库、研运平台等基础设施集成,将管理流程与技术相结合,形成贯穿开源组件生命周期的整体方案。
雳鉴SCA帮助
证券期货业机构
从已有组件的梳理与检测,到新引入组件的选型、评估、维护和退出管控,以及突发安全事件的应急响应,形成全方位的开源组件治理。
源代码漏洞生命周期管理
在漏洞发现方面,雳鉴SAST的语义分析及风险检测引擎能够及时发现源代码中的各类安全漏洞。除了漏洞基本信息、漏洞描述、修复建议、代码示例、风险回溯等内容,
雳鉴SAST还
基于AI大语言模型技术,针对性地生成漏洞修复代码,帮助开发人员深入理解漏洞产生的原因和影响范围,快速优化问题代码。
在漏洞管理层面,雳鉴SAST支持将漏洞一键同步至JIRA和禅道等常用Bug管理平台,实现漏洞的持续跟踪管理。
与研发流程的深度融合
雳鉴
SAST
和雳鉴
SCA
均能够以插件式的方式完美融入研发流程,不改变现有开发习惯,实现零门槛接入。无论是研发人员进行日常编码,或在研发过程中的代码合并节点,乃至监控代码仓库的变化,
雳鉴
SAS
T
和雳鉴
SCA
都能够实现让研发人员无感知,如同为研发流程披上了一层隐形的“安全护盾”,全面覆盖编码中和编码后的安全问题,确保安全管理与研发工作协同共进。
自主可控的安全保障
作为默安科技公司自主研发的核心产品,
雳鉴
SAST、
雳鉴
SCA
等
