3月16日下午,浙江省网络空间安全协会第一届第五次会员大会暨一届五次理事会圆满召开。会员大会现场,由安全玻璃盒牵头成立的“软件供应链安全专业委员会”获协会正式授牌。
专委会现场授牌
左二为安全玻璃盒代表
专委会牌匾
以“中国式现代化浙江篇章—网安新坐标”为主题的2023之江网安论坛接续进行,超200位安全行业各细分领域的专家、领导与企业代表共同出席,相约共启浙江网络安全新篇章。
论坛重磅发布“2022年浙江省网络安全行业优秀案例大赛”入选名单,安全玻璃盒以“稠州银行安全开发体系建设”项目以技术先进性、可落地性、可推广性获2022年浙江省网络安全行业优秀案例荣誉。
论坛现场
右七为安全玻璃盒领奖代表
荣誉奖牌
方案介绍
用户需求
稠州银行此前采用传统安全研发模式,在开发过程中,由于开发运营团队的安全意识不足、安全应急响应实践知识储备不够,在业务软件开发过程中偏向于注重功能实现而忽视软件安全需求。进而导致针对数字金融应用自身的安全漏洞检测和修复活动滞后,通常是在系统搭建或者功能模块构建完成以及应用上线运营时进行。这种模式下无法覆盖需求、研发等阶段的安全问题,无法在开发前期及时发现漏洞威胁或潜在安全问题,安全审查范围被局限,导致后期爆发安全漏洞问题时修复成本倍增。
解决方案
基于上述需求,安全玻璃盒为稠州银行建立了一套实现“安全左移”的安全开发运营体系,旨在打造覆盖数字应用开发的全生命周期的“安全屏障”。方案实施主要通过构建业务软件的安全开发体系,在稠州银行软件应用的设计阶段引入安全需求,规范安全编码、安全测试、漏洞管理等一系列安全活动。从源头上降低安全风险,减少漏洞数量,提高安全开发能力,保证软件应用的安全性和合规性。项目建设的主要任务即基于业务应用系统,在传统开发模型中嵌入安全体系,在不影响现有业务流程和活动的前提下,实现稠州银行业务系统全生命周期的安全赋能。
安全开发体系的建设结合人员管理体系、制度流程,在数字应用设计早期便引入安全动作,进行安全左移。覆盖需求、设计、实现、验证、运行、停用下线阶段的全生命周期,搭建完整安全体系,形成解决安全问题的闭环。从而降低安全问题解决成本,提升数字应用安全性以及人员安全的能力。
创新点
架构创新。本方案是以“安全左移”为指导思想,打破传统安全赋能思路,不仅将安全前置在开发阶段,另一方面也将安全文化渗透进开发团队中。方案还具有可持续发展的独特属性,在实践过程中可不断深化安全开发运营的安全理念,持续推动挖掘出更新、迭代更优的落地技术和细分体系模块,不断完善整体的安全开发体系。
技术创新。其中应用到的IAST通过插桩的形式将探针部署到应用程序当中,整个过程无脏数据产生,支持加密、验签及一次性接口场景。上报的漏洞信息不仅可展示请求与响应,代码示例与修复建议,还可以直接定位到代码位置、代码内容、代码数据流,基于探针的持续监测与分析机制和软件成分分析,能迅速与庞大的漏洞库进行比对,可检测第三方组件漏洞和风险,精准高效地检测出项目漏洞。
安全文化创新。方案在研发阶段就开始进行安全测试,提早感知网络威胁,在运行时候阻断攻击线,保护应用系统安全。协助研发工程师、测试工程师、产品经理、项目经理等非安全人员完成系统安全检测,整个过程无感知、自动化,不会影响业务的正常进行,将安全无缝集成到敏捷开发中,做到人人为安全负责,形成开发到运营整个业务生命周期的安全闭环。
现场同时为“2022年度网络安全行业发展成果评选”获奖企业颁发奖项。安全玻璃盒凭借推动科技自立自强,在软件供应链安全赛道敢于攀登、研发突破,取得卓越创新成果等优势获技术创新成就奖。
左七为安全玻璃盒领奖代表
荣誉奖牌
平台促共进
浙江省网络空间安全协会始终坚持以“四服务”为宗旨,立足打造“共建、共享、开放、合作”的网安生态平台。在会员单位的共同努力和支持下,行业凝聚力、创新力、服务力、影响力不断增强 。
安全玻璃盒作为协会的常务理事会员单位,深感综合平台对于安全企业发展精进的重要性。未来将会履行好常务理事单位的职责,把握精进发展的机会、聚合更多安全力量,与协会一起为浙江省的网络安全事业共同助力。
专精集共谋
安全玻璃盒作为专委会的副主任委员单位,将在浙江省网络空间安全协会的领导下,汇聚关注软件供应链安全的企事业单位、高校、等专精力量,共同为软件供应链安全生态治理发声、发力。共同助力,落地执行国家和浙江省关于软件供应链安全的各项法律法规及方针政策,贯彻落实软件供应链安全的总体规划,为实现自主可控、安全可信的软件供应链安全生态共谋发展之道。
安全稳现代化
数字安全已然是数字经济的压舱石,现代化与数字化同存,数字化更是离不开软件供应链安全。通过齐力探索、谋求软件供应链安全治理之道,保障软件供应链安全,就是促进数字化、就是促进中国式现代化。
领取专属 10元无门槛券
私享最新 技术干货