“安全的本质是风险和信任的平衡”
民生证券股份有限公司成立于1986年,注册资本113.84亿元,是新中国成立最早的证券公司之一。公司在北京、上海、深圳、广州、郑州等地设立了80余家分支机构,业务范围覆盖全国近30个省、直辖市及自治区,为客户提供全方位、多层次的优质、规范、高效投融资工具和专业化、个性化的金融服务。
近年来,云计算、AI人工智能、大数据等信息技术的不断发展、各行各业的信息电子化的步伐不断加快、信息化的水平不断提高,网络安全的风险不断累积,金融证券行业面临着越来越多的威胁挑战。民生证券作为业内领先的综合金融服务提供商,一直高度重视信息安全工作。特别是近年以来,开源生态的不断完善与发展,越来越多的企业引入了开源。
对于金融证券行业而言,开源生态共建与安全威胁也呈现了“共生共存”的状态。同时,民生证券正在进行数字化转型能力建设,众多业务都在从传统开发到敏捷式开发转变,迭代速度的加快与发版周期的缩短带来了一系列安全问题,民生证券并未止步于此,而是积极应对挑战,展现了卓越的业务安全建设的战略前瞻性和产业领导力。
悬镜安全“独家秘方”先知
悬镜源鉴SCA开源威胁管控平台:新一代开源数字供应链安全审查与治理平台,深度融合悬镜首创的代码疫苗技术,是国内首款集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎的多模SCA开源治理平台,快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力。
悬镜灵脉IAST灰盒安全测试平台:代码疫苗内核驱动的新一代交互式应用安全测试平台,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。
悬镜夫子ASOC敏捷安全赋能平台:DevSecOps/SDL 全流程智适应安全开发赋能平台,让企业可以通过一个中央平台发现和管理整个DevSecOps中的所有敏捷安全工具和原生应用数据,解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点,实时监测应用程序的安全事件和漏洞。
项目建设目标
01 实现企业标准化,安全管控流程
通过民生证券DevSecOps开发安全一体化管控平台建设指导落地开发、测试技术标准体系,安全工作有据可依。
02 实现全生命周期安全管理
建设民生证券DevSecOps开发安全一体化管控平台对软件生命周期各阶段进行安全管理,实现真正的安全左移安全管理工作前移。
03 提高安全性,降低安全管控成本
民生证券DevSecOps开发安全一体化管控平台建设和运行,大大提高系统的安全性、将SCA工具自动接入研发环节。
04 满足行业监管信创合规要求
民生证券DevSecOps开发安全一体化管控平台所采用的软硬件产品,服务器、数据库、中间件、操作系统等,均为国产自主研发。
方案设计亮点
民生证券DevSecops开发安全一体化管控建设方案:民生证券DevSecOps开发安全一体化管控项目分为源头治理阶段、研发过程治理阶段、上线运营治理阶段。
民生证券DevSecops开发安全一体化管控项目框架
1. 源头治理阶段
主要针对供应商提供的合作开发或者直接提供的产品进行管控。依托二进制SCA能力及软件采购规范、SBOM要求、供应商管理规范、风险控制模型等管理制度,配合软件SBOM审查、组件/许可风险审查、供应链安全审查等工作实现软件源头引入安全。
2. 研发过程治理阶段
针对SDLC的开发、测试与交付环节,通过引入SAST(静态应用安全测试)、SCA(软件成分分析)、IAST(交互式应用安全测试)等安全扫描工具提升左移代码安全扫描的能力,通过工具与CI/CD自动化流程的对接配合质量门禁管理实现自动的发版质量控制,进而融入DevOps,建立标准的DevSecOps体系。
3. ASOC平台的引入
可以有效支持实现漏洞数据的统一分析及整体关联全程治理。首先,通过对接安全工具链、OA、电子邮箱、即时通讯对各安全场景进行工作流编排定制和统一管理,配合统一的质量红线控制,实现对安全活动过程透明化、管理自动化管理。其次,整合SCA、SAST、IAST等检测结果,进行互相风险验证和整合关联,实现业务部门聚焦真实风险,降低漏洞管理工作量,提升验证修复效率
核心能力&关键技术:
01 供应商开源安全管控
02 研发过程的入口管控,数字供应链防火墙
03 研发过程管控之DevSecOps落地
04 构建供应链上完整的SBOM信息
05 数字供应链安全情报的支撑
实施效果综述
通过夫子ASOC敏捷安全赋能平台+源鉴SCA开源威胁管控平台+灵脉IAST灰盒安全测试平台的全面化建设,结合安全左移的理念,将安全融入到软件生命周期的研发阶段,从根源上介入安全管控。
针对自研项目和外包项目,在软件生命周期的不同阶段引入SCA(软件成分分析)和IAST(交互式应用安全测试)等安全检测工具,实现自动化安全风险分析、质量管控及漏洞信息的分发流程管控。
SCA工具能够有效识别第三方组件中的已知漏洞,IAST则能在测试阶段精准定位应用内部的安全缺陷,显著提升漏洞检测效率。
通过优化工作流程,提升系统应用安全的管理效率和运营能力,降低漏洞修复所带来的成本,最终落地基于DevSecOps体系的应用安全开发管控平台,保障民生证券数字应用安全风险的高效治理。
民生证券反馈
民生证券在数字化转型过程中,深度采用了悬镜安全提供的DevSecOps工具,包括灵脉IAST、源鉴SCA及夫子ASOC等,以增强软件开发过程中的安全性。灵脉IAST以其高效的动态应用安全测试能力,帮助我们在开发阶段及时发现并修复潜在安全漏洞,提高代码质量。
源鉴SCA在金融行业的开源治理中展现了其应用实践,通过存量和增量检测,覆盖代码仓库、制品仓库、运行时应用,检测企业当前存量组件或软件的已知风险,提升了开源组件的检测结果。
夫子ASOC作为安全运维的核心,整合了多种工具和服务,通过实时监控与自动化响应机制,确保系统安全稳定运行。这些工具不仅提升了我们的安全性,也优化了开发流程,极大减少了安全团队的工作负担。悬镜安全的产品和服务为我们的数字化进程带来了显著的价值,我们非常期待长期合作。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
