朱继建：中泰证券开发安全体系规划及实践

今天分享的是：朱继建：中泰证券开发安全体系规划及实践

报告共计：28页

《中泰证券开发安全体系规划及实践》一文围绕中泰证券开发安全体系展开，从背景、规划、实践等方面阐述了如何构建有效的开发安全体系，以应对当前严峻的网络安全形势。

- 推进开发安全的背景：CNNVD数据显示，近5年漏洞数量呈上升趋势，2022年达到24801个，且应用软件漏洞占比较高。同时，黑产工具如“银狐”广泛传播，给金融行业带来巨大安全威胁。监管部门愈发重视证券期货业网络和信息安全，出台多项政策要求证券公司提升安全保障能力。此外，金融科技发展促使自研能力提升、研发团队壮大，但也面临用户体验与安全性不易平衡、快速交付与安全嵌入矛盾等挑战，推进开发安全迫在眉睫。

- 安全体系规划：开发安全框架涵盖需求与设计、开发、测试、上线等全流程，各阶段均有对应的安全措施。如需求与设计阶段进行安全需求分析、威胁建模；开发阶段开展静态安全测试（SAST）、软件成分安全扫描；测试阶段实施渗透测试、交互性安全测试（IAST）等；上线阶段进行漏洞扫描、基线检测等。

- DevSecOps实践：通过制度流程保障、上层支持和跨部门协作，促进开发、测试、运维和安全人员协同工作，并针对不同角色开展培训。构建涵盖需求设计到上线各阶段的安全工具链，利用多种工具进行安全分析与测试。借助平台支撑，将安全测试集成到持续集成/持续交付（CI/CD）流程，设置安全门禁。持续的安全运营则包括安全告警监测、威胁情报分析、安全事件响应处置等，通过红蓝对抗攻防演练等活动提升安全能力。

- 收益与价值：中泰证券通过构建开发安全体系，通过了信通院相关评估，实现安全左移，减少漏洞修复成本，提高整体安全能力，形成安全人人有责的意识，推动安全开发过程标准化。

以下为报告节选内容

展开全文

报告共计： 28页

中小未来圈，你需要的资料，我这里都有！