作者|默安科技

数字化转型浪潮下，软件研发安全的重要性毋庸置疑。

据第三方权威调查，接近92%的已知安全漏洞发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。

在近年来如火如荼的攻防演练中，应用程序成为最易被攻破的对象之一。

《网络安全法》和《关键信息基础设施安全保护条例》明确“系统建设与安全建设同步规划、同步建设、同步运维/使用”的“三同步”原则，对应用系统开发流程的全生命周期安全管理提出更高的要求。

同时，如何轻松流畅地落地SDL/DevSecOps依然是普遍痛点。放眼望去，市场上开发安全工具种类和品牌繁多，但不同品牌不同类型的单点工具“各自为战”，开发安全数据“孤岛”现象凸出，各个研发项目无法便捷地管理不同阶段的安全问题，一款能够有效管控研发流程与安全风险的统一平台成为众多客户的急迫诉求。

默安科技从2017年开始进入安全开发领域，经过5年耕耘，目前已拥有业内领先、贯穿软件生命周期各个阶段的完整产品线，以及专业的服务团队。方案在多个行业落地过程中，默安科技的安全专家们发现，如果只为客户提供工具，只能解决单点问题，而对客户来说，使用的产品越多越复杂，运营成本也就越高；另一方面，在多个工具、多个开发项目并行的状态下，安全数据割裂的问题会更加突出，漏洞全生命周期管理和项目安全风险控制也更加困难。

在此背景下，默安科技研发安全一体化管理平台应运而生。

默安科技研发安全一体化管理平台能够实现开发安全工具的一体化管理，统一收集与分析安全风险和漏洞数据，并通过严格的流程管控完整的风险缓解过程，确保关键风险闭环，应对项目数量多、安全工具杂、安全数据乱等问题，打造坚实的“研发安全中台”。

全栈安全工具的能力管理

统一管理从开发侧到运营侧的全栈安全能力，包括威胁建模、SCA、SAST、IAST、DAST。该平台不仅支持默安科技自主研发的安全产品，还提供API接口，帮助用户轻松管理已有和新增的各类第三方工具。

自定义编排 项目管理更安全更自由

在这个平台上，所有安全工具能力基于项目进行管理，即在平台上建好项目后，按需调用指定安全工具，获得相应能力。

同时平台能够对接主流的开发项目管理系统，角色权限划分全面、细粒度高；支持核心管理流程的自动化编排，审批流自定义、工作流自定义，流程管理可落地性强。

漏洞和风险的全生命周期管理

该平台通过对接安全工具，获取项目不同阶段的所有安全数据，帮助客户轻松完成基于项目的漏洞和风险信息聚合，建立跟踪和修复闭环，使得安全漏洞和风险的管理与追踪有据可循。

全局安全数据分析与展示 打造“研发安全中台”

平台支持大量研发项目下的漏洞数据融合与处理，打破数据“孤岛”，去除污染数据，并实现可视化呈现，从安全角度为业务决策提供价值；该平台基于统一业务标准，实现统一的对外技术接口与业务接口，横向扩展安全能力，打造“研发安全中台”。

客户成功故事

1. 某运营商：监管严格，安全开发从0到1

严格的行业规范和法律监管是该客户决定做安全开发体系建设的主要动力。面对“三同步”原则，客户安全团队无从下手；开发项目100+，开发安全却一直未引起重视，项目管理和安全工作略显混乱。

默安科技为客户提供研发安全一体化管理平台，对接默安全线开发安全产品（威胁建模STAC/SAST/SCA/IAST/巡哨）；并基于三同步原则，定制化开发流程管理模块，实现自助式安全检测、流转、审批；同时对所有项目的安全风险数据统一分析处理，严控风险闭环，并对数据作可视化展示，促进业务决策。最后辅以平台部署/运维管理、使用培训、安全开发技能培训、运营优化等陪伴服务。

历时数月，该客户完成了100+开发项目的统一纳管，具备安全开发基础能力，自动化运行安全开发管理流程，包括安全风险的彻底处置，真正实现了系统建设与安全建设的“三同步”。

1. 某头部证券：实现多维度的安全能力承载

该客户已具备较好的开发安全建设基础，例如在不同开发阶段采购了多款不同品牌的开发安全测试工具。但在实际安全工作推进过程中，还是遇到了多项目间安全数据分散，60余个开发项目统一管理难度大，第三方渗透测试数据难以统一分析等问题。同时该客户有着安全人员紧缺、DevSecOps需根据其自研的DevOps平台作定制等特点。

同样，默安科技为该客户建设研发安全一体化管理平台，用于对接现有的第三方开发安全产品；融合第三方渗透测试报告数据，关联至具体项目；无缝对接自研的DevOps平台；统一分析和管理DevOps流程中所有来源的安全风险数据。同时增加默安SCA软件成分分析模块；并辅以各类陪伴式服务。

该客户在默安技术专家的陪伴服务下，完成对接各类开发安全测试工具的研发安全一体化管理平台与客户自研DevOps平台的无缝对接，安全建设与项目发布效率并重；有效缓解了安全人员压力，同时对大量开发项目做到统一安全管理，多来源安全数据得以统一分析和处置，保证漏洞管理闭环，实现了安全效益的最大化。

默安科技在安全开发领域不断积累与探索，推出研发安全一体化管理平台，结合业界领先的全流程安全开发自研工具，以及陪伴式专家服务，形成“一站式安全开发解决方案”。该方案目前在多个行业均得到成功落地，并获得WitAwards 2021年度优秀解决方案，是默安科技作为该领域先行者，又往前迈出的重要一步，更是广大政企客户对该解决方案的认可和期待。