世界500强企业建设软件开发安全体系,打造DevSecOps示范标杆

news2024/11/15 9:49:26

某世界500强企业旗下拥有众多知名汽车品牌,业务涵盖出行服务、科技创新、金融服务、教育等。该集团一直专注于技术创新和人才培养,同时也是国内第一批倡议并践行“数字化转型”的汽车行业企业。

数智化建设转型,研发安全体系建设势在必行

在双循环、智能网联化、产业升级背景下,汽车行业逐步进入“软件定义汽车时代”。此时,人、机器、数据、网络紧密结合在一起,应用软件的可靠性及安全性不言而喻。在此背景下,该集团制定了一系列IT软件安全开发规范,并在上线前进行严格审查。但随着企业积极深化数智化转型,软件应用数量成倍增多,对软件开发安全管理带来诸多挑战,构建深层次的软件安全开发体系势在必行。

经过全方面诊断,该集团面临如下挑战:

外部

国内外对汽车行业安全监管日趋严格、合规压力大
近年来,国内外针对智能网联车的各类安全监管主体不断增多,相关法律密集出台、要求逐渐变细、标准规范越来越严、更新速度不断加快,如国内的《网络安全法》、《等保》,欧盟出台的《通用数据保护条例》、《网络安全管理体系(CSMS)认证》、ISO/SAE21434等要求。

安全事件频发

对于汽车行业,由于软件问题而引发的汽车召回、停用甚至停售,已是任何车企难以承受的巨大损失。而一旦涉及到人身安全,舆论所带来的影响对车企而言可能是毁灭性的冲击。近年来,国外内汽车事件频发,引发了企业高层及安全团队进一步的重视。

内部

业务高频迭代,安全测试滞后,漏洞修复成本高

仅在上线前进行安全测试,应用系统从提测到漏洞修复验证,直至达到企业上线要求,整个周期很长,交付时效性及软件质量难以平衡,严重影响业务推进及市场规划。

缺乏开发安全体系及流程监控

企业结合国家及行业要求,已制定了开发安全相关的制度及要求,但在实施过程中,各种必要的安全流程、技术手段、安全策略缺乏体系化的过程管控机制,且难以通过数字化指标来度量及优化落地效果。

软件开发过程与安全活动流程割裂

该集团引入了一些开源及商采的安全测试工具,但未与现有开发流程紧密整合,使得整个devsecops链条中,平台分散、工具利用率不高,多部门多角色协作低效。

安全测试自动化不足

在自身 DevOps 开发流程中,无法做到安全与业务效率的平衡,涉及多种测试工具及复杂测试流程,不仅需要耗费大量人力和时间,而且对安全测试人员的能力水平要求较高,过多的人工参与,会导致整体上很难保证标准化及流程的一致性。

技术赋能开发安全体系创新实践,打造DevSecOps示范标杆

通过深入现场调研,结合企业内部情况,该集团与开源网安共同构建了符合企业现状及未来发展的建设方案。该方案以SDL及DevSecOps为核心理念的新一代软件安全体系来综合解决上述问题,把安全融入到开发过程,并且实现彻底的安全左移,从源头降低开发安全成本,实施开发安全过程管控,落实企业规范及要求,提升应用质量。业务架构如下图所示。

建立从安全检测、风险发现到漏洞处置的统一管理能力

基于自身痛点,该集团引入开源网安开发安全管控平台,并且整合 SAST、VulHunter(开源网安灰盒安全测试平台)、SourceCheck(开源组件安全及合规管理平台)、StackRox 等安全测试工具链,一方面可以通过平台内置的编排引擎主动、批量对任意资产应用调起安全检测,另一方面对接企业的DevOps平台,在不改变原有开发模式的前提下,随日常工作自动化发起安全检测,最终将检测结果汇聚到一体化平台中,实现对漏洞风险的跟踪、处置、溯源以及预警等精细化管理能力,解决工具利用率低、数据分散的问题。

无缝嵌入现有开发流程,实现安全要求平台化

开源网安提供的开发安全管控平台与集团现有的测试管理系统、统一用户权限系统集成对接,通过内置的安全知识库及轻量化威胁建模插件,自动化生成安全需求,以及安全设计、安全研发、安全测试等各个阶段的安全任务及要求,管理人员可以及时跟踪、记录、管理安全要求的提出、实现、验证、完成情况,解决流程难以管控的问题。

建立合规管理及持续安全运营能力

平台内置应用安全画像问卷,通过评估建设系统的等保要求及数据安全等级,自动化关联内置的安全防护要求及预警策略,并且通过漏洞复现及修复建议、业内最佳实践等安全知识、结合开展相应的安全培训,不断提升业务部门及研发人员的安全能力及安全意识,解决同类型漏洞反复出现的问题。

该集团通过平台化落实企业开发安全体系,满足了内外部合规监管要求,实现从需求设计、编码测试到上线的全生命周期安全活动管控,并持续优化形成集团内部开发安全最佳实践。运行一年,该集团已有近千个系统在平台中实现集中管理,安全测试覆盖率达70%,漏洞修复时效提升近60%,在业务上线前消减90%以上的中高危漏洞。

未来,开源网安将坚持以市场化最佳实践及技术产品创新,为中国数字化转型之路打造数据与信息安全防御体系,携手各行业客户解答数字时代和业务发展提出的信息及数据安全问题,为汽车行业的不同应用场景提供“中国方案”,提高防范和化解软件供应链安全风险的能力,助力常态化、体系化软件供应链安全治理及开发安全及合规体系的建设。

开源网安开发安全管控平台(ASOC平台)是基于软件供应链安全及应用安全现状,推出的新一代兼顾开发效率与安全运营的解决方案,是DevSecOps及SDL理念优势结合的最佳实践,致力于解决数字化时代提出的应用安全及合规需求。提供从需求、设计、研发、测试到运营等软件全生命周期的开发安全活动、流程、数据及devsecops工具链的统一管理能力,致力于提升企业应用安全质量、满足合规需求、构建企业级开发安全管理体系及持续安全运营能力。

推荐阅读

吉利汽车:S-SDLC融入开发体系,推动智能汽车安全发展

某大型车企:加强汽车应用安全防护,开创智能网联汽车新篇章

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1679624.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C#【进阶】委托和事件

委托和事件 文章目录 1、委托1、委托概念2、基本语法3、定义自定义委托4、使用自定义委托5、委托变量可以存储多个函数6、系统定义好的委托思考 怪物死亡数据更新 2、事件1、事件概念2、事件的使用3、为什么有事件思考 热水器 3、匿名函数1、匿名函数概念2、基本语法3、使用4、…

27_Scala功能函数

文章目录 功能函数1.功能函数处理集合数据2.扁平化操作3.按照指定条件将数据集中的数据进行过滤4.集合通过 自定义函数进行分组5.mapValues6.sortBy函数 功能函数 1.功能函数处理集合数据 –集合的功能函数 map List --> map( logical ) --> newList–实现一个不确定的…

Blender雕刻建模流程

1.构形 先构造一个大致相像的外形 可使用的方法包含 -多边形:表面细分,布尔 -曲线:曲线倒角 -融球(使用较少) -曲面(使用较少) 构形之后的准备 -应用缩放 -应用修改器 -曲线转网格 1.1…

8个迹象表明你需要一台新笔记本电脑,看一下你的笔记本是否有其中一个

序言 当你第一次打开你的笔记本电脑的盒子时,它会以最高性能运行,电池寿命更长,过热最小,资源使用效率高。然而,随着笔记本电脑的老化,它将不能满足预期用途。以下几个迹象表明,可能是时候寻找并投资一款新设备了。 你的设备不再具有预期用途 如果你的笔记本电脑不再…

战网国际服注册教程 暴雪战网国际服账号注册一站式教程分享

战网国际版,也即Battle.net环球版,是由暴雪娱乐操刀的全球化游戏交流枢纽,它突破地理限制,拥抱全世界的游戏玩家。与仅限特定地区的版本不同,国际版为玩家开辟了无障碍通道,让他们得以自由探索暴雪庞大游戏…

MacOS docker 安装与配置

orbstack 安装 官网: https://orbstack.dev 下载链接:Download OrbStack Fast, light, simple Docker Desktop alternative 选择是Apple M系列处理器, 或 Intel系列处理器 到这里就安装好了Orbstack软件,下面开始配置docker 下…

C语言/数据结构——栈的实现

一.前言 今天我们讲解新的领域——栈。 二.正文 1.栈 1.1栈的概念及结构 栈:一种特殊的线性表,其允许在固定的一段进行插入和删除元素操作。进行数据插入和删除操作的一端称为栈顶,另一端称为栈底。栈中的数据元素遵守后进先出LIFO&#…

css笔记总结2

找到所有的 h1 标签。 选择器(选对人) 设置这些标签的样式,比如颜色为红色(做对事)。 ##css基础选择器 基础选择器又包括:标签选择器、类选择器、id 选择器和通配符选择器 ###标签选择器: 标签…

PostgreSQL(十二)报错:Tried to send an out-of-range integer as a 2-byte value: 51000

目录 一、报错场景二、源码分析三、实际原因(更加复杂)四、解决思路 一、报错场景 今天写了一个历史数据处理程序,在开发环境、测试环境都可以正常执行,但是放到生产环境上就不行,报了一个这样的错误: or…

【SpringBoot】SpringBoot整合jasypt进行重要数据加密

📝个人主页:哈__ 期待您的关注 目录 📕jasypt简介 🔥SpringBoot使用jasypt 📂创建我需要的数据库文件 📕引入依赖 🔓配置数据库文件(先不进行加密) 🌙创…

十二.吊打面试官系列-JVM优化-深入JVM内存模型

JVM内存模型 1.JVM的组成 整个JVM组成由 :运行时数据区 , 类加载子系统 , 执行引擎 , 本地方法库 几部分组成 上面是Java7的内存模型,Java8以后做了一些调整,把方法区变成了元空间,元空间不在…

Linux 第三十三章

🐶博主主页:ᰔᩚ. 一怀明月ꦿ ❤️‍🔥专栏系列:线性代数,C初学者入门训练,题解C,C的使用文章,「初学」C,linux 🔥座右铭:“不要等到什么都没有了…

Golang | Leetcode Golang题解之第80题删除有序数组中的重复项II

题目&#xff1a; 题解&#xff1a; func removeDuplicates(nums []int) int {n : len(nums)if n < 2 {return n}slow, fast : 2, 2for fast < n {if nums[slow-2] ! nums[fast] {nums[slow] nums[fast]slow}fast}return slow }

1、sql server数据库进行sql注入

靶机取自&#xff1a;墨者sql server 1、判断数据库类型 抓包知sql server&#xff0c;所以注入语句跟MySQL有些区别 2、判断注入点 “http://219.153.49.228:42514/new_list.asp?id2 ”&#xff0c;当id2 and 11时显示正确&#xff0c;id2 and 12时页面报错。 3、确定列…

Vue.js的发展史(一)

Vue.js的发展史&#xff08;一&#xff09; 什么是Vue? Vue (发音为 /vjuː/&#xff0c;类似 view) 是一款用于构建用户界面的 JavaScript 框架。它基于标准 HTML、CSS 和 JavaScript 构建&#xff0c;并提供了一套声明式的、组件化的编程模型&#xff0c;帮助你高效地开发…

云服务器和物理机该怎样分别呢

随着网络的不断发展&#xff0c;服务器的类型也在以不同的方式更新。现在云服务器的兴起占据了很大一部分市场&#xff0c;物理机的市场份额受到了很大的冲击。物理机和云服务器有什么区别&#xff1f;如何选择适合自己需求的&#xff1f;虽然物理服务器和云服务器都是服务器&a…

Python进度条工具——tqdm

原文链接&#xff1a;http://www.juzicode.com/python-note-tqdm 在安装Python库文件的时候我们经常可以看到这种进度条&#xff1a; 其实Python库中就自带了现成的工具库——tqdm。 tqdm读起来比较拗口&#xff0c;它是从“进程”的阿拉伯语taqaddum简化而来。 安装tqdm 使用…

有关登录安全,测试人该知道些什么?

作为测试&#xff0c;给我们一个关键词“登录”&#xff0c;我们可能想到的用例设计更多的是什么用户名、密码校验是否合法、是否为空、是否正确等等之类的场景。 但在如今信息化的时代&#xff0c;“登录安全”已经是一个很热门且普遍的的话题了&#xff0c;今天给大家简单分…

uniapp小程序控制页面元素滚动指定距离

要实现页面元素滚动&#xff0c;最好还是使用 scroll-view 来实现&#xff0c;官方文档地址&#xff1a;scroll-view | uni-app官网 通过设置scroll事件来实现滚动监听&#xff0c;当滚动的元素的时候&#xff0c;就会触发这个事件&#xff0c;并且事件里面包含有滚动距离&…