孝道科技得道SDMP安全开发一体化管理平台_DevOps研发管理平台搭建

立即咨询

立即试用

商务合作

孝道科技得道SDMP安全开发一体化管理平台

孝道科技得道 SDMP 安全开发一体化管理平台，整合 DevOps 研发管理平台搭建与 STMA 安全威胁建模分析系统核心能力。可实现研发全流程安全集成，嵌入威胁建模分析，助力企业构建安全开发体系，提升研发效率与安全防护水平。

立即咨询

首页

数字化产品

应用安全

孝道科技得道SDMP安全开发一体化管理平台

开发模型转变对安全的挑战 icon

高速的交付，原有“门禁式”的安全模式受到了挑战。

安全开发在实践中面临的挑战 icon

网络安全相关政策

《网络安全法》第二十一条

第二十五条网络运营者应当制定网络安全事件应急预案及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;
第三十五条，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

《关于银行业数字化转型的指导意见》

提出到2025年，银行业数字化转型取得明显成效，网络安全、数据安全和风,险管理水平全面提升。加强网络安全防护，强化与外部合作的网络安全风险监测与隔离，建立开放平台安全管理规范。

《网络安全审查办法》

为了确保关键信息基础设施供应链安全，维护国家安全，对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应进行网络安全审查。

《金融行业网络安全等级保护实施指引》

需规范金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求、金融机构网络安全培训相关要求。

安全开发一体化平台整体介绍 icon

打造一站式管理研发安全质量的安全开发一体化平台（Secure Development Management Platform，SDMP）以及专业安全开发服务，产品和服务覆盖软件应用全生命周期。SDMP是业界内实践DevSecOps等理论的综合性业务流程平台。它通过威胁建模分析、组合分析检测、安全即代码等方式优化研发团队和安全团队在源代码、开源组件、应用软件、API、容器镜像等方面的安全工作，解决应用内生安全问题。

开发一体化平台核心技术特点介绍 icon

安全开发一体化平台
ASPM（Application security posture management）：应用安全态势感知中心
ASOC（Application security orchestration and correlation ）：应用安全编排中心。

关联和优先级引擎CPE

AST漏洞标准化和去重模型:保证漏洞覆盖度和代码覆盖度的前提下，标准化漏洞数据，便于关联分析减轻漏洞审核和修复压力，关联分析模型:通过关联分析，放大不同AST工具的优势，弥补各个工具的短板。智能研判模型:根据漏洞分类标准、业务类型、利用可能性等维度重构漏洞的优先级。二期基于安全开发垂域模型审计漏洞。

应用安全编排ASOC和统一用户体验UX

ASOC：可视化DecSecOps全流程，支持基于不同场景进行安全测试编排和智能化风险决策，统一的用户体验（UX）：一体化管理所有应用安全扫描引擎，贴近安全人员和研发人员的使用场景。

应用安全资产图谱

组件：组件和依赖、风险组件、来源和可信度API：API和风险AP1、API扫描覆盖率

源代码：代码覆盖率、风险代码位置可视化等。

开发一体化平台主要功能介绍 icon

特性1.1-全自动安全开发流程：Dev+Sec+Ops icon

特性1.2-全自动安全开发流程：安全检测过程特写 icon

特性2-资产和依赖关系管理，解决软件供应链风险 icon

资产清单：资源开放共享、业务高频迭代，开发项目资产数量大，随着应用迁移上云暴露出更多攻击面。清晰的主机资产.源码资产、应用资产管理，可及时发现异常、追溯源头。清晰的开源组件清单和组件版本管理，可减少高危漏洞的引入。清晰的API管理可及时发现号常调度。

清晰的资产清单管理

主机资产
源代码资产
web资产
组件资产
API资产

及时发现开源组件风险减少高危风险组件引入

第三方组件库和第三方风险组件库
组件漏洞管理和漏洞映射管理

资产风险可视化

特性3-基于风险业务场景的轻量级威胁建模平台 icon

威胁建模子平台：根据实际项目背景、业务场景，输出威胁清单、安全需求清单、安全需求测试用例、安全编码规范，解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。

多项业界领先的合规标准、可扩展的安全需求知识库

数据安全要求
行业标准/监管要求
数据处理规范
安全最佳实践标准
安全测试用例

基于风险业务场景的轻量级威胁建模方法便捷、准确、灵活

下沉到某个具体业务功能或者接口，提供与安全需求对应的安全开发SDK。研发团队更容易拆分研发任务、实施和检测安全需求，提高闭环率

联动安全检测工具，实现安全需求自动验证和闭环

支持提交至工单平台，实现零侵入研发流程

对接Gitlab、禅道、Jira等等工单平台
推送安全需求至工单平台
规范的安全需求变更和评审流程、权限管理
多维度导出安全需求研发文档和测试文档。

特性4-可扩展的安全检测能力 icon

特性5-强大的漏洞二次处理能力和闭环管理能力 icon

漏洞全生命周期管理:统一管理各类安全检测任务的安全漏洞，对大量的漏洞数据进行归一化处理，过滤重复的安全漏洞,缩短人工复核时间。同时，支持管理第三方风险组件漏洞，避免引入不安全的第三方组件。

强大的漏洞集成、二次处理、查询能力

统一管理多工具多类型的安全漏洞
自动过滤重复的安全漏洞
高性能查询、便捷筛选
支持任务漏洞以及报告漏洞入库。

漏洞映射能力，适应不同项目的安全要求

漏洞白名单
漏洞风险等级调整
扩展自定义组件风险库（黑名单）

漏洞管理方式灵活适应不同角色使用

提交至工单系统，统一管理业务漏洞和安全漏洞，避免研发人员频繁切换平台处理漏洞
研发人员通过自研IDE插件检索和变更漏洞数据。

丰富的漏洞视图提升漏洞处理效率

聚合视图自动归纳一些具有相同属性的漏洞，做批量处理，避免多次、重复的做筛选动作。

特性5-强大的漏洞二次处理能力和闭环管理能力-漏洞模型 icon

去重模型

1、对多款开源、商业化工具进行集成和去重;

2、智能评级:从漏洞分类标准、业务类型,利用可能性、资产重要程度、威胁严重程度等多维度对漏洞结果进行综合研判，输出漏洞等级评估结果。

闭环模型

1、工具检测自动闭环安全需求:可识别通用型高鉴别性威胁，非:纯合规、业务逻辑

2、工具检测自动闭环漏洞:精准复测，通过安全开发业务中台实现该业务流程，
3、精准漏洞修复提示,
4、自动修复:安全开发IDE插件。

降误报模型

1、多工具联动分析模型:通过关联分析弥补各个工具的短板，比如SAST的漏洞数据输入到IAST之中确认;
2、漏洞映射模型:设置函数黑白名单、文件/文件夹黑白名单，提高检测的精确度。

主动防御

漏洞和安全需求的联合分析:例如，历史经常出现的越权漏洞，是因为整个产品都没有鉴权，一个接口不符合编码规范，同一份代码的另一个接口出现安全问题的风险高。

特性6-集中风险可视化，数据驱动安全运营 icon

数据统计与分析：安全开发一体化平台整合所有项目的安全数据，包括安全需求数据、漏洞数据、任务数据等，丰富的图表类型和统计数据，支撑管理决策、安全数据监测、总结汇报等场景。

DevsecOps建设建设前后效果对比
多项目安全开发建设效果对比
安全开发建设统计报表

阶段风险概览，差距项统计与分析

闭环率、误报率、修复时长

漏洞来源分析、处理流程

整体风险趋势概览
安全需求和漏洞处置进度
安全检测效果和频率分析

开发一体化平台适用场景总览 icon

供应链安全场景-背景说明 icon

目前大量公司都会采用外包的形式，使用外部团队来完成一些系统的研发和维护，但是系统因安全性问题而造成的损失则由公司自行承担，如何约束系统的安全性以及与外部团队达成安全共识是比较棘手的问题。

安全属于一项风险

绝对的安全是不存在的，那由外部供应商团队承担起安全带来的损失是不大现实的（无论怎么做都会存在一些安全风险），而且会造成安全团队和研发团队之间极大的对立，从而没办法推进安全工作。需要更具体的安全目标

外部团队安全能力弱,资源少

外部团队为了从成本角度出发，一般来说仅包含研发人员，而不会有相应的安全人员，在安全知识和技能方面存在很大的短板，难以保证安全质量，同时短时间的人工安全测试很难将安全风险降低到较低的水平，也存在一定随机性。甲方也很难提供充足的安全人员支撑工作

供应链安全场景-解决方案 icon

工具自动化切入

使用丰富的各类安全验证工具对相应的软件进行检测，形成立体化的安全基线。

安全数据中心

从细粒度资产、漏洞数据实时把握各个项目的风险动态，及时制定相应的措施，尽早处理风险。

预先确定安全目标

以解决方案中的安全规划设计能力为基础结合专业安全人员对其标准化内容的分析和扩展形成明确地可实施的安全目标。与外部团队针对安全目标确定验收标准。

物料管理中心

清晰掌握软件系统的物料情况，及时发现潜在的风险，例如使用了存在漏洞的组件。

供应链安全场景-解决方案 icon

供应链安全场景-解决方案 icon

1、管理外包供应商的产品安全和企业采购的产品安全，具备供应商和产品管理功能。
2、通过产品关联的项目，正向查看产品的安全风险情况。

明确供应链双方配合流程：管理平台&扫描引擎方案 icon

管理平台&SCA方案

方案1：IDE环境使用插件-接入SCA服务器（研发）-IDE环境扫描-结果回传到内网的SCA服务器--体化平台发起任务同步漏洞数据（研发访问内网）;方案2:一体化平台上传（上传POM，研发访问内网）-调动SCA-SCA扫描-一体化平台显示结果。

管理平台& SAST方案

方案1：一体化平台上传（jar ，研发访问内网）-调动SAST-SAST扫描-一体化平台显示结果。

管理平台& IAST方案

方案1：一体化平台（测试环境）-调动IAST-IAST扫描-一体化平台发起任务同步漏洞数据。

管理平台& DAST方案

方案1：一体化平台(测试环境)-调动DAST-DAST扫描-一体化平台显示结果。

推送安全数据至工单平台 icon

任务完成后，实现推送安全数据推送的3种方式。平台具备webhook模块和灵活定制的工单插件，可完成数据推送。

农某案例：需求阶段的安全投入时间和节省时间 icon

农某案例：研发测试阶段的安全投入时间和节省时间 icon

农某案例：安全开发流程建设前后效果总结 icon

建设安全开发前：工作量=人工威胁建模（3人天）+人工代码审计（4人天）+人工漏洞去重和审核（3人天）+漏洞修复（5人天）=约15人天。
建设安全开发后：工作量= 威胁建模（1人天）+人工渗透测试（1人天）+灄洞审核（1人天）+前期漏洞修复（2人天）= 约5人天。其中，减少工作量=自动闭
环安全需求(2人天)+自动执行安全任务和自动推送去重数据（4人天）+后期漏洞修复时间（4人天）=约10人天。
由此可见，将安全左移后，可减少上线后的风险，不影响上线的效率。

证券案例-安全开发全生命周期建设 icon

项目背景：上海证券交易所于2018年制定公司战略，“建立健全信息安全技术制度规定，推进技术系统全生命周期管理”，公司在研发部门下新成立安全质量管理的团队“质量保障部”，设置安全人员3-5人，负责业务系统30+。通过搭建安全管理平台、白盒检测工具、灰盒检测工具，以及建设安全开发SDK和安全知识库，改善了软件安全质量问题。

公司简介

杭州孝道科技有限公司【安全玻璃盒】是国家高新技术企业，总部位于杭州，致力于为用户提供软件供应链安全解决方案，是国内软件供应链安全领航者。
公司拥有百余项自主知识产权，专业为用户提供DevSecOps、软件供应链安全、上线即安全及免疫防御解决方案。业务覆盖金融、政府等领域的数百家用户，包括中国证券监督管理委员会、兴业银行、浙商银行、浙江省农信、广东省农信、河北省农信、广西自治区大数据发展管理局、浙江省医保局、中国移动、中国联通、国家电网、物产集团、大华股份等Top级典型用户成为省级专精特新中小企业、省级高新技术企业研究开发中心、IDC中国DevsecOps技术创新者。携“开源软件供应链安全管理系统”入选工信部网络安全技术应用试点示范项目。

企业资质