SDLC开发过程：基于DevSecOps理念的解决方案

2019年年初，拼多多APP出现重大BUG，用户可以在没有任何限制的情况下无限领取100元无门槛优惠券。据不完全统计，一晚上的时间直接造成拼多多损失的优惠券面额达200多亿。根据拼多多官方报道，此次事件是黑灰产团伙通过一个过期优惠券的漏洞，盗取了平台优惠券数千万元。

2018年年底，上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙，该团伙成员发现并利用某银行APP软件中的质押贷款业务安全漏洞，使用非法手段累计非法获利2800余万元。

2018年11月，台湾地区金管会银行局副局长王立群表示，美国花旗银行办理信用卡业务的预缴卡费交易系统漏洞，此前遭到客户利用，刷卡消费达6300余万元新台币（约合人民币1345万元）。

在快节奏的软件开发与应用漏洞频繁的环境下，解决软件漏洞问题是软件开发团队不得不面临的一个艰巨任务。

自2004年起，SDLC就成为Microsoft全公司的计划和强制施行政策。安全开发生命周期（SDLC）即Security Development Life Cycle，是一个帮助开发人员构建更安全软件、满足安全合规要求的同时降低开发成本的软件开发过程。其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段都增加了相应的安全活动与规范，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDLC)是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。

Microsoft 安全开发生命周期 – 简化（中文版）

当前的软件系统开发过程通常包括编码、单元测试、集成测试、处理Bug等步骤。随着系统复杂度的增加，模块之间的依赖关系越来越复杂，很多Bug要到项目集成时才能发现，而且距离开发阶段越久，Bug修复成本就越高。

截图来自悬镜灵脉解决方案手册

随着DevOps的出现，软件开发和部署过程变得更快，迭代更加频繁。为了在不牺牲速度和生产力的情况下有效降低风险，企业需要将安全性融入到DevOps流程和工具链。这一点比以往更加重要。悬镜安全提供SDLC全开发流程DevSecOps自适应威胁管理体系解决方案。

悬镜DevSecOps自适应威胁管理体系方案图

在项目研发阶段，悬镜提供以悬镜灵脉AI渗透测试平台为核心的安全开发解决方案。悬镜灵脉采用Gartner十大信息安全技术之一的IAST（交互式应用安全测试）灰盒测试技术方案，其AI启发式网站扫描引擎可协助研发工程师、测试工程师、项目经理等非安全人员完成系统的漏洞测试。悬镜灵脉不仅可以解决传统黑盒扫描方式中爬虫功能的局限性，还能够将AI渗透测试无感地内化于SDL流程之中，大大减少了企业安全测试人员的人力成本。

*IAST交互式安全测试工具是全新一代“灰盒”代码审计、安全测试和第三方软件检测产品，是近年来兴起的一项新技术，被Gartner公司列为信息安全领域的Top10技术之一。融合了SAST和DAST技术的优点，无需源码，支持对字节码的检测。IAST极大的提高了安全测试的效率和准确率，良好地适用于敏捷开发与DevOps，可以在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，无感知地完成安全测试。

针对项目运营阶段，悬镜安全推出以悬镜云卫士为核心的主机安全防御方案。悬镜云卫士基于ASA自适应安全架构，从企业安全管理视角精准梳理IT资产，动态量化安全风险，提前做好塔防式安全防御体系，并基于攻击链多锚点检测技术实现黑客入侵的实时监测和响应，第一时间预警客户并提供安全技术支持，及时规避漏洞风险。

悬镜云卫士功能截图

关于我们：

悬镜安全（北京安普诺信息技术有限公司）创立于2014年9月，总部位于北京中关村软件园，由北京大学白帽黑客团队“XMIRROR”主导创立，专注于DevSecOps软件供应链生命周期的高级威胁检测防御。

核心业务主要包括”悬镜灵脉”AI渗透测试平台和”悬镜云卫士”自适应安全运营平台等自主创新产品及以实战攻防对抗为特色的政企安全服务，致力为金融、云服务商、政务、能源、教育、交通等行业用户提供创新灵活的自适应安全智能管家解决方案。