开源网安S-SDLC软件研发安全全流程管理平台_安全开发管控平台

开源网安S-SDLC软件研发安全全流程管理平台

S-SDLC平台能够集成业界主流的安全检测工具的检测结果，除了开源网安自研Vulhunter、SourceCheck、CodeSec等安全工具外，支持集成Fortify、StackRox、Coverity等第三方工具。平台可以通过系统名称或者唯一编号进行模糊查询，或者通过系统级别、所属业务领域进行筛选。项目的相关漏洞数据可以通过漏洞名称、项目名称、项目版本、下属应用名称、检测工具、漏洞修复状态进行筛选。

立即咨询

首页 > 产品中心 > 网络安全 > 开源网安S-SDLC软件研发安全全流程管理平台

SDL落地业务痛点

S-SDLC平台覆盖范围 icon

平台功能架构

实施价值

S-SDLC之前

安全管控流程关键环节缺乏抓手

缺乏对安全开发的度量

无法沉淀安全开发案例和经验

难以构建高效的DevSecOps工具链

无法审计安全发生过程

开发、测试、安全人员沟通效率低

缺乏研发人员安全能力跟踪分析能力

S-SDLC之后

安全流程标准化、可视化，自动化

安全指标量化，可视化

构建安全需求库、威胁库，去专业化

集成自动化工具，无缝整合DevOps

所有安全活动存档可追踪，易于审计

开发、测试、安全团队在一个平台上协同工作

平台全流程监控开发人员安全能力

核心方案 - 全面的安全测试工具集成 icon

S-SDLC平台能够集成业界主流的安全检测工具的检测结果，除了开源网安自研Vulhunter、SourceCheck、CodeSec等安全工具外，支持集成Fortify、StackRox、Coverity等第三方工具

核心方案 - 安全检测可视化编排调度 icon

在应用安全检测领域，针对不同的检测对象、检测目标有多种多样的安全检测工具，这些安全检测工具如果单一运营，对于任何一个团队来说都是一个很大的挑战。平台通过安全工具编排模块，可以在平台内部统一的调度这些安全检测工具，并自动获取漏洞数据。在一个编排任务下，可以串行或并行调度多个安全检测工具

核心方案 - 统一威胁管理 icon

平台可以通过系统名称或者唯一编号进行模糊查询，或者通过系统级别、所属业务领域进行筛选。项目的相关漏洞数据可以通过漏洞名称、项目名称、项目版本、下属应用名称、检测工具、漏洞修复状态进行筛选。

核心方案 - 安全智库 icon

平台设计了多个维度的知识库管理模块。针对研发技能、等保、法律法规和企业内部规范都有相应的模块进行管理，并可以自定义规范的目录结构，上传各类知识库数据（平台已内置知识库数据）。针对研发技能知识库，包括了安全需求、安全设计、安全研发、安全测试知识库。同时还有更适合敏捷的业务场景知识库。

核心方案 - 安全合规成熟度管理 icon

平台通过收集、整理各类相关的合规要求项录入平台，并通过对一些安全活动组件的数据采集进行自动化满足度情况分析。业务团队也可以通过查看合规满足度报告，制定合规满足工作计划。

核心方案 - 基于场景的业务需求安全问卷 icon

平台通过业务场景问卷，让业务团队通过关联业务需求与业务功能场景问卷即可完成安全合规、需求、设计、测试任务挖掘。

核心方案 - 可配置信息系统分级表 icon

核心方案 - 关键环节质量门控制机制 icon

在软件交付的各个环节可以设置控制门，如在需求阶段，通过模块化对业务场景需求和基本安全需求进行业务版本隔离和数据隔离，对安全需求任务的进行质量把控，在评审会议中记录评审意见和结果。

核心方案 - 安全活动文档管理和预览 icon

在项目下文档管理模块，可以上传项目相关文档，包括PDF、EXCEL、PPT、WORD等文档格式。图片和PDF格式文档，点击文档预览按钮时，可以直接对文档进行查看。

核心方案 - 文档规范自动化核查 icon

文档进行归档时，应该对归档的文档质量进行自动化的基本检查，从相关文档类型，对文档结构、文档各部分内容大小、关键字、设计/流程图片做检查，并生成报告。

核心方案 – 自定义安全研发流程 icon

在域导航栏中【配置管理】服务下，可以对软件开发流程进行可视化自定义配置。配置页面提供三种类型的绘图组件：阶段组件、业务组件（活动组件）、审核组件（控制门组件）。

核心方案 - RBAC & DAC访问控制 icon

S-SDLC平台支持用户管理，能够为用户分配系统中的操作权限，支持基于角色的权限隔离和数据隔离，防止垂直越权和水平越权，通过访问控制结构保护用户和角色的细粒度资源。

最佳安全左移检测工具-IAST icon

软件组件分析工具SourceCheck icon

静态代码扫描工具CodeSec icon

CodeSec 能够对各扫描工具进行便捷式管理、优化扫描结果、输出统一的漏洞描述和修复建议，方便用户对比分析，解决各平台输出报告混杂、耗费整理时间等问题，减少代码审核的人力、时间投入。

CodeSec 源代码安全检测工具主要运用于开发阶段的代码审核，可集成主流的商业静态扫描工具，通过统一的平台管理，扬长避短，综合各工具的优势，有效降低误报率，帮助用户简化扫描流程。SAST：在编码阶段分析应用程序的源代码来发现程序代码存在的安全漏洞。

公司简介开源网安

成立于2013年，总部在深圳，在北京、上海、广州、武汉、成都、合肥设有分支机构。由来自思科、微软、惠普、华为等行业顶级安全专家组成核心团队，从业经验均为10年以上，专注“软件安全”，向客户提供覆盖软件安全开发生命周期的安全产品、解决方案、安全服务和安全培训，帮助企业提升软件的安全与质量。

发展历程

公司资质

公司实力

核心优势

软件安全典型客户

S-SDLC咨询 | 金融行业 | 平安银行 icon

客户背景

平安银行，是中国平安保险(集团)股份有限公司控股的一家跨区域经营的股份制商业银行，为中国大陆12家全国性股份制商业银行之一。

解决方案

提供软件安全开发生命周期(S-SDLC)相关服务和工具产品。

客户价值

帮助平安银行提升了信息系统的安全开发能力成熟度，助力“平安口袋银行安全项目”的安全性提升了250%，口袋银行的安全漏洞价格也达到3.5万人民币一个高危漏洞，是银行业平均水平的5倍以上。

S-SDLC咨询 | 通讯行业 | 华为 icon

客户背景

华为技术有限公司是全球领先的信息与通信技术(ICT)解决方案供应商，并致力于实现未来信息社会、构建更美好的全联接世界。2013年，华为首超全球第一大电信设备商爱立信，排名《财富》世界500强第315位。

解决方案

提供软件安全开发生命周期(S-SDLC)解决方案和配套工具产品。

客户价值

帮助华为在企业内部建立和落地软件安全开发流程，提升企业的信息系统和应用软件安全开发能力，构建可信可控的ICT产品。

S-SDLC实施 | 能源行业 | 国家电网 icon

客户背景

国家电网公司是关系国民经济命脉和国家能源安全的特大型国有重点骨干企业，以投资建设运营电网为核心业务，承担着保障安全、经济、清洁、可持续电力供应的重要使命。

解决方案

提供S-SDLC治理服务和S-SDLC工具链。

客户价值

为国家电网系统提供实时监控和测试，从源头保障电网公司相关能源输送软件的安全，避免由系统缺陷和漏洞造成的能源输送事故的发生。

开源网安-软件安全咨询、服务团队介绍 icon

产品推荐查看更多>>

安恒明御®WEB应用防火墙WAF

安恒明御®WEB应用防火墙WAF，对网站或APP业务流量进行安全检测和防护保障核心数据安全，与APT、大数据平台等安全设备联动提供更全面的Web应用安全解决方案，专业SSL加速卡提高业务访问速度和设备性能处理能力，waf防火墙主动发现恶意IP快速识别和拦截潜在的安全威胁。

全面网站安全防护

产品联动加倍安全

快速进行业务访问

提前感知安全风险

立即咨询查看详情

网络防泄漏系统

网络防泄漏系统基于内容识别安全技术和网络数据捕获还原技术，融合最先进的自然语言、数字指纹、智能学习、图像识别等技术,开创性的建立新一代数据防泄漏系统，对网络数据进行事前预防，事中保护和事后响应的全方位保护，帮助企业实现核心资产的网络传输的治理。

功能完备

安全可靠

立即咨询查看详情

新华三H3C SecPathF1000-AI系列防火墙

H3C SecPath F1000-AI 系列防火墙面向行业市场的高性能多千兆和超万兆防火墙 VPN 集成网关产品，硬件上基于多核处理器架构，为 1U 的独立盒式防火墙。该系列防火墙产品提供丰富的接口扩展能力。

人工智能特性

电信级设备高可靠性

下一代多业务特性

专业的智能管理

立即咨询查看详情

数字化社区查看更多>>