随着开发模式由传统的瀑布式转变为DevOps模式和计算机算力和资源利用率的快速发展，不仅因为新技术而引入了新的安全风险，同时传统的门禁式安全手段已无法满足甚至阳碍在当今技术场景下的业务交付速度。

根据系统的业务连续性要求、注册规模、资金业务量、数据安全等级要求、是否对互联网开发等因素进行分类分级，从而执行不同等级的安全活动与标准。

威胁建模平台，根据实际项目背景、业务场景，输出威胁清单、安全需求清单安全需求测试用例，解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。

源代码安全缺陷检测系统（SAST），采用业界领先的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品。它能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题、程序缺陷，并准确定位告警。

软件成分分析平台（SCA），是基于开源项目元素、文件特征、代码片段等数据为基础研发的软件风险分析系统，主要面向企业开发项目中开源组件引入的检测需求，在满足当前开发模式的前提下，与源代码管理系统（Git、SVN 等）、制品库（NexusArtifactory）、缺陷管理系统（如 Jira、禅道等）、持续集成工具（）（如 Jenkins）无缝对接实现了软件成分分析、成分中的已知漏洞分析及评估、许可证分析、漏洞范围影响分析等功能帮助组织快速构建代码安全保障体系。

灰盒交互式安全测试系统（IAST），支持对应用的通用安全漏洞、代码层安全漏洞和开源组件安全漏洞进行有效检测，详细展示漏洞形成数据流和堆栈信息等，便于定位、验证、修复安全漏洞，系统具备漏洞检测、定位分析、主动验证、以及第三方开源组件漏洞与许可分析能力。

通过对人员安全能力的提升，来形成企业的安全文化氛围。

安全质量标推从安全需求中来，但一定要是可执行、可操作的。安全标准映射到具体执行步骤中，应是安全需求的细化具体化。用于指导研发、测试工作标准、指南的安全知识与行业最佳实践相结合，转换为条目化、结构化的安全开发基线，把专家知识沉淀为可复用的企业安全资产。

将安全方法封装好，便捷的提供给内部研发同学、外包同学使用，降低安全方法门槛，统一出口，积累安全方法知识库，提高工作效率。

结合安全行业最佳实践、行业监管要求，沉淀积累安全测试用例，形成自己的测试用例库，统一测试规范，便于内部测试同学及外包人员使用，建立可信的测试范围。

通过一体化平台对各项安全活动的数据进行收集统计分析，来指导现行安全活动进行优化迭代。

我们在思考如何设计和落地DevSecOps在各个研发阶 段的安全能力时，发现DevSecOps 的内核与工程规范性模型如CMMI4是高度相似的，都是通过在产品研发的各个阶段设计规范、工具、检查，来提升研发效率、产品质量、工程师素养。
因此可以尝试在CMMI4的基础上添加各个安全活动数据指标后，并借助于工程规范实现快速推广 DevSecOps 到全公司的效果。落地DevSecOps 时，我们只需要按照模型的标准，将各项产品安全工具、产品安全措施转换为可视化、分步实施的安全检查项。

平台主要由四部分构成:一中心、一体系和两大模块。-个中心是指DevSecOps一体化平台的管理中心，一体系是指由平台自动化赋能到开发流程中的安全开发管理体系，两大模块是安全检测模块和应用设计模块。

架构图：

在对内部的流程制度与人员角色进行调研之后，输出适合内部真实情况的SDL应用安全开发制度体系。

挑选安全性要求较高的项目组作为流程体系试点，进行工具链建设。

得益于高度自动化的安全工具链支撑，虽然我们在研发流程中深度嵌入了很多安全检查项，但是依然可以满足 DevOps 时代产品快速迭代的需求。