西南某民营银行：研发提质增效，打造领先数字化民营银行

西南某民营银行，是中西部早期获批开业的民营银行之一，始终坚持“科技立行”理念，不断加大金融科技创新投入，全力推动金融科技赋能，提升金融服务质效，相继推出了针对小微企业信贷、农户信贷、数字支付等多款特色数字金融业务。

传统检测工具能力不足

DevOps流水线待升级

在多年的数字化建设中，该银行已经构建比较完善的DevOps流⽔线，通过自动化工具和流程，帮助银行加快应用交付的速度。随着金融体系对数字业务安全要求越来越高，银行DevOps流水线面临一些安全能力问题：

1. 漏洞的误报漏报，应用易“带病上线”。原有DevOps流水线中，虽然使用传统应用安全检测工具，但其规则集有限且无法充分理解复杂逻辑与代码上下文信息，导致检测出现漏洞误报或漏报的情况，使得应用容易“带病上线”。

2. 检测速度慢，严重影响研发效率。基于SAST安全检测工具，对源代码进行扫描分析，虽然检测覆盖度高，但从检测到反馈再到问题修复，需要消耗大量时间，严重影响研发效率。

3. 集成难度大，无法真正实现敏捷交付。原有的SAST工具应用于代码编写阶段，DAST工具应用于安全测试阶段，但限于两者的工作原理，在自动化流程上无法适应高效敏捷的交付要求，使得产品研发周期延长。

VulHunter深入集成DevOps流水线

研发体系提质增效

该银行使用开源网安灰盒安全测试平台（VulHunter）与DevOps流水线进行深度集成，推动应用安全检测效率提高，使DevOps流水线既有安全能力的提升，又满足敏捷交付的要求。

1. 高精确高覆盖，漏洞“一网打尽”。开源网安灰盒安全测试平台可自动检测运行时的应用中真实漏洞，并且根据在应用的执行效果上进行扫描检测，借助实时片段的上下文分析，避免了因缺乏上下文信息而产生漏洞误报和漏报的现象。

2. 检测速度快，结果实时反馈。开源网安灰盒安全测试平台在运行应用的过程中持续进行安全测试，同时可进行检测实时反馈，让研发人员及早发现并修复问题。

3. 易与DevOps集成，实现敏捷交付。开源网安灰盒安全测试平台可以无缝地集成到DevOps流水线中，根据配置可在应用构建过程中自动进行安全检测，提升了开发效率，保证了DevOps流水线的连续性。

该银行通过VulHunter在应用开发阶段的早期发现安全问题，减少潜在的安全风险，在应用部署到生产环境之前进行快速修复，并且超高的自动化程度可深度集成适配DevOps流水线，提升了安全检测的效率，缩短了应用研发周期，大幅提升了银行的研发质效，从而进一步推动其数字金融业务的高质量发展。

近年来，该银行在经营管理和业务发展中，积极打造企业级数字化平台，不断探索金融科技的赋能创新。同样，开源网安也将持续为金融客户提供研发安全解决方案，助力金融客户在“数字化+智能化”道路上更高效、更安全地创新发展。