高速的交付，原有“门禁式”的安全模式受到了挑战。

打造一站式管理研发安全质量的安全开发一体化平台（Secure Development Management Platform，SDMP）以及专业安全开发服务，产品和服务覆盖软件应用全生命周期。SDMP是业界内实践DevSecOps等理论的综合性业务流程平台。它通过威胁建模分析、组合分析检测、安全即代码等方式优化研发团队和安全团队在源代码、 开源组件、应用软件、API、容器镜像等方面的安全工作，解决应用内生安全问题。

安全开发一体化平台
ASPM（Application security posture management）：应用安全态势感知中心
ASOC（Application security orchestration and correlation ）：应用安全编排中心。

资产清单：资源开放共享、业务高频迭代，开发项目资产数量大，随着应用迁移上云暴露出更多攻击面。清晰的主机资产.源码资产、应用资产管理，可及时发现异常、追溯源头。清晰的开源组件清单和组件版本管理，可减少高危漏洞的引入。清晰的API管理可及时发现号常调度。

威胁建模子平台：根据实际项目背景、业务场景，输出威胁清单、安全需求清单、安全需求测试用例、安全编码规范，解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。

漏洞全生命周期管理:统一管理各类安全检测任务的安全漏洞，对大量的漏洞数据进行归一化处理，过滤重复的安全漏洞,缩短人工复核时间。同时，支持管理第三方风险组件漏洞，避免引入不安全的第三方组件。

数据统计与分析：安全开发一体化平台整合所有项目的安全数据，包括安全需求数据、漏洞数据、任务数据等，丰富的图表类型和统计数据，支撑管理决策、安全数据监测、总结汇报等场景。

目前大量公司都会采用外包的形式，使用外部团队来完成一些系统的研发和维护，但是系统因安全性问题而造成的损失则由公司自行承担，如何约束系统的安全性以及与外部团队达成安全共识是比较棘手的问题。

1、管理外包供应商的产品安全和企业采购的产品安全，具备供应商和产品管理功能。
2、通过产品关联的项目，正向查看产品的安全风险情况。

任务完成后，实现推送安全数据推送的3种方式。平台具备webhook模块和灵活定制的工单插件，可完成数据推送。

建设安全开发前：工作量=人工威胁建模（3人天）+人工代码审计（4人天）+人工漏洞去重和审核（3人天）+漏洞修复（5人天）=约15人天。
建设安全开发后：工作量= 威胁建模（1人天）+人工渗透测试（1人天）+灄洞审核（1人天）+前期漏洞修复（2人天）= 约5人天。其中，减少工作量=自动闭
环安全需求(2人天)+自动执行安全任务和自动推送去重数据（4人天）+后期漏洞修复时间（4人天）=约10人天。
由此可见，将安全左移后，可减少上线后的风险，不影响上线的效率。

项目背景：上海证券交易所于2018年制定公司战略，“建立健全信息安全技术制度规定，推进技术系统全生命周期管理”，公司在研发部门下新成立安全质量管理的团队“质量保障部”，设置安全人员3-5人，负责业务系统30+。通过搭建安全管理平台、白盒检测工具、灰盒检测工具，以及建设安全开发SDK和安全知识库，改善了软件安全质量问题。

杭州孝道科技有限公司【安全玻璃盒】是国家高新技术企业，总部位于杭州，致力于为用户提供软件供应链安全解决方案，是国内软件供应链安全领航者。
公司拥有百余项自主知识产权，专业为用户提供DevSecOps、软件供应链安全、上线即安全及免疫防御解决方案。业务覆盖金融、政府等领域的数百家用户，包括中国证券监督管理委员会、兴业银行、浙商银行、浙江省农信、广东省农信、河北省农信、广西自治区大数据发展管理局、浙江省医保局、中国移动、中国联通、国家电网、物产集团、大华股份等Top级典型用户成为省级专精特新中小企业、省级高新技术企业研究开发中心、IDC中国DevsecOps技术创新者。携“开源软件供应链安全管理系统”入选工信部网络安全技术应用试点示范项目。