解決方案以十四五規(guī)劃、等級(jí)保護(hù)2.0、個(gè)人信息安全規(guī)范、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南以及各行業(yè)應(yīng)用安全要求為指導(dǎo)，使用國(guó)產(chǎn)化硬件搭載銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10，發(fā)揮操作系統(tǒng)安全、穩(wěn)定、優(yōu)勢(shì)，結(jié)合默安科技自研的引擎和模型算法，從系統(tǒng)開發(fā)的需求、設(shè)計(jì)、開發(fā)、測(cè)試、上線等階段入手，深度識(shí)別系統(tǒng)應(yīng)用可能存在的各類安全風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)設(shè)計(jì)、需求、代碼、組件、API、功能等方面的安全管控，全面提升應(yīng)用自身的安全性，配合定制化的安全運(yùn)營(yíng)服務(wù)，構(gòu)建應(yīng)用全生命周期的安全開發(fā)運(yùn)營(yíng)體系。

• 芯片架構(gòu)：兆芯、海光、AMD64、飛騰、鯤鵬等

• 操作系統(tǒng)：銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10

• 基礎(chǔ)軟件：東方通國(guó)產(chǎn)中間件

• 應(yīng)用軟件：默安科技靂鑒STAC威脅建模分析系統(tǒng)V1.0、靂鑒SCA開源組件分析系統(tǒng)V1.0、靂鑒SAST源代碼安全檢測(cè)系統(tǒng)V2.0、靂鑒IAST交互式應(yīng)用安全檢測(cè)系統(tǒng)V2.0等

以銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10為支點(diǎn)，實(shí)現(xiàn)最優(yōu)化的系統(tǒng)運(yùn)行環(huán)境，結(jié)合默安科技全自研的系統(tǒng)軟件，搭配相應(yīng)的定制化安全服務(wù)，滿足各行業(yè)開發(fā)安全建設(shè)的不同需求：

• 安全左移、風(fēng)險(xiǎn)前置

• 強(qiáng)強(qiáng)聯(lián)合、自主安全

• 組件治理、開源管控

• 動(dòng)靜結(jié)合、全面檢測(cè)

• 上線卡點(diǎn)、安全閉環(huán)

自研類業(yè)務(wù)全生命周期開發(fā)安全建設(shè)場(chǎng)景

在業(yè)務(wù)系統(tǒng)自主研發(fā)的場(chǎng)景中，主要包含需求管理、代碼管理、打包、測(cè)試、交付等環(huán)節(jié)。開發(fā)安全建設(shè)圍繞檢測(cè)工具規(guī)則、開發(fā)安全流程設(shè)計(jì)、流水線集成等展開。解決方案可以完美契合開發(fā)的各個(gè)階段，以自身開發(fā)現(xiàn)狀和業(yè)務(wù)特點(diǎn)為基礎(chǔ)，優(yōu)先在上線前或功能測(cè)試等靠后階段進(jìn)行安全測(cè)試，同時(shí)輔以配套的制度規(guī)范，搭配相應(yīng)的安全服務(wù)和項(xiàng)目試點(diǎn)協(xié)助進(jìn)行開發(fā)安全落地。并通過定期回顧總結(jié)和優(yōu)化分析不斷的調(diào)整優(yōu)化在保障對(duì)業(yè)務(wù)開發(fā)影響最低的前提下提升應(yīng)用自身安全性，最終向DevSevOps方向演進(jìn)。

外包類業(yè)務(wù)開發(fā)安全管控場(chǎng)景

針對(duì)外包類業(yè)務(wù)開發(fā)模式的單位，難以做到對(duì)整個(gè)開發(fā)流程的安全管理，需要做減法，避輕就重，解決方案主要在幾個(gè)關(guān)鍵節(jié)點(diǎn)進(jìn)行安全管控：

1、增加招投標(biāo)、采購(gòu)、交付環(huán)節(jié)的軟件安全要求，上線前借助開發(fā)安全工具通過軟件安全性檢測(cè)；

2、提前考慮安全需求，基于威脅建模系統(tǒng)，將安全需求前置，可與開發(fā)商共同制定軟件功能的安全需求、安全設(shè)計(jì)規(guī)范等；

3、將軟件安全性納入供應(yīng)商評(píng)估標(biāo)準(zhǔn)，一方面可作為開發(fā)商的入圍、選擇的重要參考，一方面也可以約束軟件開發(fā)商，督促其在保證軟件功能正常實(shí)現(xiàn)的前提下，加強(qiáng)軟件自身安全性。

智能制造-車聯(lián)網(wǎng)應(yīng)用安全檢測(cè)場(chǎng)景

車聯(lián)網(wǎng)應(yīng)用的智能網(wǎng)連、OTA升級(jí)、自動(dòng)駕駛等功能均依賴于車機(jī)與云端服務(wù)器進(jìn)行數(shù)據(jù)交互，MQTT（消息隊(duì)列遙測(cè)傳輸）協(xié)議作為基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議，在車聯(lián)網(wǎng)中被廣泛應(yīng)用，解決方案在交互式應(yīng)用安全檢測(cè)能力上融入MQTT協(xié)議，完成車機(jī)與云端之間的通訊檢測(cè)，協(xié)助企業(yè)加強(qiáng)車聯(lián)網(wǎng)應(yīng)用安全建設(shè)。

某銀行分布式DevSecOps集成案例

建設(shè)內(nèi)容：打造基于銀河麒麟操作系統(tǒng)的交互式應(yīng)用安全檢測(cè)系統(tǒng)，協(xié)助客戶與其自研的pipeline流水線和BUG管理平臺(tái)進(jìn)行自動(dòng)化對(duì)接。針對(duì)安全能力較弱的分支研發(fā)中心，則是采用流量采集的方式統(tǒng)一收集到總部進(jìn)行檢測(cè)分析。

案例價(jià)值：打通檢測(cè)平臺(tái)與管理平臺(tái)的橋梁，減輕溝通成本和漏洞復(fù)測(cè)壓力，最終協(xié)助客戶全面推進(jìn)自動(dòng)化流水線，完成金融數(shù)字化轉(zhuǎn)型發(fā)展。

某政企外包安全管控案例

建設(shè)內(nèi)容：打造基于銀河麒麟操作系統(tǒng)的交互式應(yīng)用安全檢測(cè)系統(tǒng)，協(xié)助客戶梳理和建立開發(fā)安全檢測(cè)流程與規(guī)范，重點(diǎn)關(guān)注幾個(gè)核心業(yè)務(wù)系統(tǒng)的自身安全性，由客戶方安全人員進(jìn)行環(huán)境部署，交由外包開發(fā)商的研發(fā)人員進(jìn)行檢測(cè)和修復(fù)，而安全部門則主要針對(duì)中高危漏洞進(jìn)行監(jiān)管和復(fù)測(cè)，確保安全漏洞已閉環(huán)。

案例價(jià)值：圍繞默安-麒麟IAST系統(tǒng)建立業(yè)務(wù)系統(tǒng)上線前開發(fā)安全檢測(cè)流程，基于客戶自身實(shí)際情況出發(fā)，化繁為簡(jiǎn)，將目光聚焦于各類注入、上傳下載、個(gè)人隱私數(shù)據(jù)泄露等常見中高危漏洞，大大加強(qiáng)了對(duì)于業(yè)務(wù)系統(tǒng)自身的安全管控，彌補(bǔ)了在客戶外包開發(fā)安全這一部分的空白。

某企業(yè)軟件供應(yīng)鏈安全治理案例

建設(shè)內(nèi)容：打造基于銀河麒麟操作系統(tǒng)的軟件成分分析檢測(cè)系統(tǒng)，對(duì)接客戶方自研的CI/CD流水線平臺(tái)。由于客戶方還處于組件安全建設(shè)的起步階段，為了避免影響研發(fā)的正常進(jìn)度以及考慮到業(yè)務(wù)系統(tǒng)的敏感性，重點(diǎn)關(guān)注編碼階段，要求開發(fā)人員去感知組件安全風(fēng)險(xiǎn)，安全人員則負(fù)責(zé)進(jìn)行漏洞的復(fù)測(cè)、監(jiān)督和修復(fù)指導(dǎo)。

案例價(jià)值：以開發(fā)人員自查為主，安全人員監(jiān)管結(jié)合制度規(guī)范約束，建立起了組件安全管控體系。基于客戶自身情況出發(fā)，未對(duì)組件修復(fù)進(jìn)行強(qiáng)制要求，采用比較溫和的方式，在保證不影響業(yè)務(wù)系統(tǒng)的情況下，定期進(jìn)行組件中高危風(fēng)險(xiǎn)的處置工作，響應(yīng)國(guó)家軟件供應(yīng)鏈安全建設(shè)的號(hào)召，加強(qiáng)第三方組件的安全性和穩(wěn)定性。