在数字化转型发展和云原生环境下，各政企单位的业务系统在互联网的暴露面大大增加，一旦上线系统存在漏洞，就很容易被不法分子发现并利用，造成不可估量的损失。

• 2021年12月9日，在国内爆发了“核弹级”漏洞“Apache Log4j2”，由于该漏洞来源于Apache 开源项目，被大量用于业务系统开发，几乎所有的互联网企业都受到影响。

• 2020年12月初，被称为“史上最严重的供应链攻击事件”爆发，包括微软、思科在内的多个世界500强企业和美国国务院、五角大楼等政府机构遭到入侵，波及全球多个国家和地区的 18000 多个用户。

如何在应用程序上线前尽早消灭高危漏洞，从源头上避免安全事故，并满足国内外法律法规的安全要求，是各政企单位亟须解决的难题，而默安科技自主研发的“产品+服务+平台”SDL/DevSecOps全流程方案能够全面解决这一难题。

1  客户介绍

德比软件创立于2002年，是专业从事旅游网络营销系统的技术服务公司，约400名员工分布于达拉斯、上海、北京、伦敦、东京和巴塞罗那等地。德比软件的产品如数据对接服务、数字营销服务、内容服务等为全球酒店业提供解决方案，且拥有全部产品的自主知识产权。目前，德比软件拥有超过全球24万家酒店数据，拥有400＋的合作伙伴和450＋的全球对接案例，每月处理超过1200万间夜的订单。

2  面临的挑战

01开发安全检测力度不够

例如在编码、测试阶段缺少相应的安全检测工具，上线前缺少安全评审、漏洞验证等工作，上线运维阶段缺少持续的风险监测等，导致漏洞发现不够及时和完整。

02开发安全能力仍有提升空间

例如缺少防跨站注入等安全组件，缺乏持续的安全培训和漏洞的及时修复能力，整体抗风险能力亟待提高。

03没有形成统一的开发安全管理规范 

包括开发安全流程整体规范、应用安全设计规范、安全编码规范以及上线安全评审规范等。

04客户上下游的安全需求

 由于业务规模的不断扩大，越来越多的客户也向德比软件提出了前沿性的安全需求，使得德比软件必须在更多领域和更深层面考虑安全问题。

 05云原生环境对安全在业务、管理和部署上的要求

随着德比软件开始将关键业务搬上云端，针对云原生应用程序的体系结构都需要采用自己独特的安全性手段来实现对客户端的策略和控制，德比软件迫切需要一套新的云安全运维和治理手段。

3  默安科技解决方案

默安科技“一站式”开发安全解决方案，将安全要融入到开发的每一个流程之中，不仅不会增加开发的工作量，还可以对开发进行赋能，从根本上解决软件漏洞无法收敛和难以修复的问题。

01全量赋能

（1）提供完整工具链

提供白盒、黑盒、灰盒测试方法，提供默安科技的SAST、DAST、IAST，及SCA工具，覆盖软件开发过程中的编码、测试和上线等关键阶段。

 图  AST（Application Security Test）工具链介绍

（2）全流程知识赋能

默安科技专家对该企业不同岗位中的关键人员开展相应培训，包括安全工具使用培训、各阶段安全能力建设培训、安全意识培训等，并总结运营过程中的问题和经验，引导流程关键人员，实现持续安全的目标。

02合规建设

 （1）在应用系统的需求设计阶段

默安科技将数据安全融入前期的威胁建模和安全设计工作中，提出具体的数据应用场景风险和技术控制要求，包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。

（2）在编码测试阶段

默安科技的雳鉴IAST遵循个人信息保护法、欧盟GDPR、PCI DSS等法规标准，帮助该企业快速检测应用系统中不合规的个人隐私数据处理行为，迅速定位存在隐私泄露风险的漏洞地址和代码位置，帮助开发人员快速定位和复现问题。

雳鉴IAST还提供详细的风险修复建议，供开发人员参考或提供专业安全服务，协助并指导开发人员完成漏洞修复。

03采用“先试点后推广”，稳妥推进

根据开发项目进度，建立多个试点项目，以实际的安全效果和价值赢得该企业开发团队的信任；同时，默安科技安全专家采用“陪伴式服务”，将工作能力和执行细节融入项目开发流程，项目组人员不用付出额外精力，即可轻松掌握关键的安全控制方法。

04二期开发安全体系针对性优化

默安科技安全专家提供常规的技术服务，参与到该企业的实际运营过程中，以第三视角，帮助其完善和落实前期所制定的开发安全体系，对相关设计文档进行针对性优化。

05EKS环境的安全评估

针对该企业将关键业务迁移上云的安全需求，默安科技安全专家与该企业开发团队密切沟通，通过召开安全需求评审会、多次研究、分析和验证开发安全体系与该企业EKS环境的适应性，为其建立起庞大的云原生安全知识库，有效降低云环境中漏洞发生的概率，提升整体抗风险能力，保证整个开发安全的质量。

4  为客户带来的核心价值

01整体开发安全成熟度的提升

项目开始前，默安科技安全专家经过调研发现该企业在开发安全的管理、设计、执行、验证、运营五个方面都有提升空间。经过两期的开发安全体系建设，该企业在以上各方面实现了巨大的成长。

图  开发安全成熟度五大核心能力

02开发安全全流程体系的落地

●   对于漏洞的发现和处置，能做到“安全需求、安全设计、安全编码、安全测试、安全验证、安全上线”等各个环节的及时发现、处置和闭环，跟踪漏洞全生命周期。

●   满足国内外监管要求，遵循主要的数据安全法律法规，避免因违规带来的行政处罚。

●   大幅提升员工安全意识、关键业务项目组成员的安全开发专业能力。

●   具备完善的开发安全管理规范并推动落实。

图 开发安全全流程工作概览

03开发安全体系知识库的实践和积累

 通过长达两年的努力，默安科技安全团队为该企业沉淀了大量实用性技术文档，让安全更好地适应和赋能开发，为该企业规划长期的开发安全建设路线。

04云原生安全体系的创新和验证

默安科技为该企业建立起基于云环境开发的云原生安全防护能力，让该企业在应对安全挑战时更加从容。

5  一路同行，未来可期

作为国内开发安全领域的先行者和领导者，默安科技秉承可持续安全运营理念，注重实际运行效果，致力于成为客户值得信赖的安全伙伴。公司经过两期专业、优质的服务，赢得了德比软件的高度认可，双方保持着长期友好的合作关系。后续，默安科技还将与德比软件展开更广泛的合作，继续为该企业的全流程开发安全赋能。

默安科技“一站式”开发安全解决方案已成功应用于运营商、金融、政务、能源、互联网等多个领域的客户，沉淀了成熟的产品技术和服务模式。随着云计算高速发展带来的对开发运维更高效的要求，未来默安科技愿与客户一起不断探索、实践和创新，将安全更好地融入到不同的开发环境中，持续在开发安全领域创造价值。