再获认可！海云安典型案例入选《ISC 2023软件供应链安全洞察》报告

近日，《ISC 2023软件供应链安全洞察》报告（以下简称《报告》）正式发布，海云安-某大型制造国有企业应用系统全生命周期安全管理平台项目，凭借在软件供应链领域的技术创新以及良好的用户反馈，成功入选《报告》企业软件供应链经典案例，实力再获行业认可。

海云安-某大型制造国有企业应用系统全生命周期安全管理平台项目

一、案例背景近年来，软件供应链安全与应用开发安全越来越被广泛重视，国家、行业相关法律法规和标准规范密集出台，要求落实网络安全“三同步”，加强软件供应链安全与应用系统安全建设管控，推进应用系统“安全左移”，应从立项、需求、设计、开发、上线、运营等各阶段网络安全管理活动和技术进行强化，并对信息化项目和网络安全三同步进行落实。

某大型国企客户在数字化转型过程中各类信息化应用系统建设工作稳步推进的同时也面临着诸多挑战，如：国家与行业的安全监管要求日趋严格、应用系统开发需求和复杂度不断增长、应用开发安全相关专业人才极度短缺、应用开发和安全之间存在文化壁垒、应用开发与安全活动之间流程割裂、大量开源组件的引用存在安全隐患等。

结合该大型国企客户现状，依据《信息安全技术 网络安全等级保护基本要求》（GB-T 22239-2019）、《大型制造国有企业网络安全重点工作落实情况自查自评项目表》等国家政策及安全标准规范，通过从人、流程、工具、文化等方面建立起完善的安全开发治理体系，可全面提升软件供应链安全管控能力以及应用系统安全防护能力。

二、解决方案

针对该大型国企制造业客户的实际业务场景和安全需求，对存量应用系统中的源代码和开源组件风险进行摸排，并制定整改优化计划，完成存量应用系统安全的优化。同时，海云安通过定制化应用系统全生命周期安全管理平台项目，与客户一起梳理一套适用于该企业的安全开发管理体系制度和一套安全开发管理流程，并对相关人员进行安全开发意识和技能培训，以端到端的安全检测工具为技术手段，以应用系统全生命周期安全管理平台为依托，以安全综合运营和专家咨询服务为保障，提供全方位自动化安全检测的能力，覆盖应用系统设计、开发、交付、运营各个阶段的安全管控活动，在应用安全开发全生命周期的每个建设阶段注入安全管理措施，在安全需求、安全设计、安全编码、安全测试、上线验收、安全运维和安全下线每个阶段活动注入安全要素，加强应用系统在开发过程的安全管理，帮助客户实现有效安全左移，并实现持续安全运营。 

通过深度结合SDL和DevSecOps理念，帮助企业贯通应用系统交付安全流，对应用系统开发交付过程中各环节的安全活动，通过管理手段和技术手段，让应用系统交付过程更透明，安全问题职责更清晰，安全⻛险更加自主可控。

三、落地效果

本项目围绕该大型国企客户应用系统的项目立项阶段、需求阶段、系统开发阶段、系统测试阶段和系统运营阶段等环节的安全要求，将研究成果融入建设的应用系统生命周期安全管理平台，满足应用系统整个安全开发生命周期管理需要。通过平台的建设和使用，梳理应用系统台账，摸清了应用系统安全现状和风险暴露面；规范了应用系统建设流程，落实了应用安全责任矩阵，并形成了良好的开发安全文化；采用国产化黑白灰安全检测工具对接平台进行技术支撑，从而落实了应用系统全生命周期安全检测和软件供应链安全保障。