默安科技DevSecOps研发安全管理平台
首页
开发安全体系框架
安全工具嵌入开发流程
安全能力集成 - STAC敏捷威胁建模
安全能力集成 - STAC丰富全面的知识库
安全能力集成 - SCA软件成分分析安全能力集成 - SCA组件风险卡点
· 轻入侵&无感知。无需改变现有开发流程,即可实现组件安全管控。
安全能力集成 - SCA软件成分分析集成实践
安全能力集成 - SAST静态代码安全检测
安全能力集成 - SAST研发流程集成1、研发新建需求分支编写代码,发起代码合入时,自动触发流水线进行白盒代码扫描,将扫描结果调用gitab API反馈给gitlab,gitlab根据反馈结果判断代码合入,检测不通过代码无法合入。
2、检测不通过后研发会收到漏洞通知,研发自行判断漏洞是否为误报,若不为误报则修复完之后重新发起合入,若为误报则发起误报研判申请,安全工程师根据研判结果修改扫描结果,同时反馈研判结果给研发。
3、研发收到误报确认之后重新开启合入,则会自动调用最新的扫描结果进行校验,通过后将会自动合入。
安全能力集成 - SAST能力优化
1、自定义规则增加污染源函数
降低误报
1、弃用误报率高、无法很好的解决的检测规则。
3、对于研发自己实现的过滤方法针对具体的项目进行增加自定义规则。
安全能力集成 - IAST交互式应用安全检测
安全开发工具链建设 - IAST
检出率高,近乎零误报。
安全开发工具链建设 - IASTGDPR 通用数据保护条例(General Data Protection Regulation)
目的在于遏制个人信息被滥用,保护个人隐私。2018年5月25日正式生效,可以直接在各欧盟成员国施行,不需要各国议会通过。
1)、个人数据处理:根据GDPR第41及4.2条,个人数据是指与已识别或可识别的自然人 (数据主体) 相关的任何数据,可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人...
2)、数据系统保护和默认保护:根据GDPR第3.25条,数据控制者应当采取适当的技术、组织措施 (如匿名化等) 确保数据处理符合GDPR要求的同时又保护数据主体的权利。此外,在默认 (by defaut) 情形下,该技术和组织措施应保证对个人数据的处理应在最小必要的原则下进行且不得被不特定自然人访问。
//国内2020年加推个人信息保护法、数据安全法。
IAST支持10+种隐私数据类型3种不同途径的违规行为检测:
注:雳鉴IAST在个人隐私合规方面检测的是违规行为,而不是漏洞
隐私数据类型:身份证号、手机号、邮箱、银行卡号...
违规行为:个人隐私信息在数据库、日志文件、请求响应中明文保存显示等
支持对应隐私数据和具体泄露位置展示,支持检测规则按需自定义
当前支持合规的国家相关规范条例如下:《个人信息保护法(草案)》、《通用数据保护条例(GDPR)》、《支付卡行业数据安全标准(PCI DSS)》、《GB_T 35273-2020个人信息安全规范》、《JR- T0223-2021金融数据安全数据生命周期安全规范》、《JR-T 0171-2020 个人金融信息保护技术规范》、《JR-T0197-2020金融数据安全数据安全分级指南》
安全开发工具链建设 - IAST
安全能力集成 - IAST
DevSecOps研发安全管理平台
建立开发安全能力平台,实现开发安全工具统一编排和全流程漏洞跟踪处置
引擎任务编排
漏洞生命周期管理
高度自定义运营策略
支持根据实际需求添加漏洞状态节点、处置动作和状态处置角色,配置漏洞状态的流转流程。
根据企业自身管理流程要求自定义漏洞管理流程,能够灵活适应不同项目和团队要求。
创建功能允许用户自定义各阶段(研发编码、测试验收、发布运维)的流程,并且添加各阶段安全检测引擎。
确保每个项目版本都能依据特定要求进行定制化的安全检测流程
研发安全管理运营
多行业全面覆盖
小步快跑从工具建设和问题治理入手,做出成效,由浅入深,
再建设引入完整的SDL体系,保持每一步的投入都有最佳产出。
某企业开发安全体系建设项目
· IAST作为安全卡点
· 威胁建模输出到各个部门
· 各部门依次安全活动,安全部门把关
· 安全赋能沉淀与固化
SDL开发全工具落地阶段与内容
威胁建模STAC
编码阶段SCA/SAST内部流程
测试阶段 IAST内部流程
完成流程对接预期
某银行开发安全体系建设项目
某银行开发安全体系建设项目
产品推荐
