信息化觀察網(wǎng)

“安全的本質(zhì)是風(fēng)險和信任的平衡”

民生證券股份有限公司成立于1986年，注冊資本113.84億元，是新中國成立最早的證券公司之一。公司在北京、上海、深圳、廣州、鄭州等地設(shè)立了80余家分支機構(gòu)，業(yè)務(wù)范圍覆蓋全國近30個省、直轄市及自治區(qū)，為客戶提供全方位、多層次的優(yōu)質(zhì)、規(guī)范、高效投融資工具和專業(yè)化、個性化的金融服務(wù)。

近年來，云計算、AI人工智能、大數(shù)據(jù)等信息技術(shù)的不斷發(fā)展、各行各業(yè)的信息電子化的步伐不斷加快、信息化的水平不斷提高，網(wǎng)絡(luò)安全的風(fēng)險不斷累積，金融證券行業(yè)面臨著越來越多的威脅挑戰(zhàn)。民生證券作為業(yè)內(nèi)領(lǐng)先的綜合金融服務(wù)提供商，一直高度重視信息安全工作。特別是近年以來，開源生態(tài)的不斷完善與發(fā)展，越來越多的企業(yè)引入了開源。

對于金融證券行業(yè)而言，開源生態(tài)共建與安全威脅也呈現(xiàn)了“共生共存”的狀態(tài)。同時，民生證券正在進行數(shù)字化轉(zhuǎn)型能力建設(shè)，眾多業(yè)務(wù)都在從傳統(tǒng)開發(fā)到敏捷式開發(fā)轉(zhuǎn)變，迭代速度的加快與發(fā)版周期的縮短帶來了一系列安全問題，民生證券并未止步于此，而是積極應(yīng)對挑戰(zhàn)，展現(xiàn)了卓越的業(yè)務(wù)安全建設(shè)的戰(zhàn)略前瞻性和產(chǎn)業(yè)領(lǐng)導(dǎo)力。

懸鏡源鑒SCA開源威脅管控平臺：新一代開源數(shù)字供應(yīng)鏈安全審查與治理平臺，深度融合懸鏡首創(chuàng)的代碼疫苗技術(shù)，是國內(nèi)首款集組件成分分析、代碼成分溯源、制品成分二進制分析、運行時成分動態(tài)追蹤及容器鏡像掃描五大核心引擎的多模SCA開源治理平臺，快速掃描數(shù)字應(yīng)用和容器鏡像中存在的各類開源風(fēng)險，并提供實時精準(zhǔn)的數(shù)字供應(yīng)鏈安全情報預(yù)警能力。

懸鏡靈脈IAST灰盒安全測試平臺：代碼疫苗內(nèi)核驅(qū)動的新一代交互式應(yīng)用安全測試平臺，透明集成于現(xiàn)有IT流程，自動化完成業(yè)務(wù)代碼上線前安全測試，重點覆蓋90%以上中高危漏洞，防止應(yīng)用帶病上線，保障數(shù)字供應(yīng)鏈開發(fā)環(huán)節(jié)的安全運行。

懸鏡夫子ASOC敏捷安全賦能平臺：DevSecOps/SDL全流程智適應(yīng)安全開發(fā)賦能平臺，讓企業(yè)可以通過一個中央平臺發(fā)現(xiàn)和管理整個DevSecOps中的所有敏捷安全工具和原生應(yīng)用數(shù)據(jù)，解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立、漏洞管理難閉環(huán)、開發(fā)流程難管控等核心痛點，實時監(jiān)測應(yīng)用程序的安全事件和漏洞。

IAST（交互式應(yīng)用安全測試）工具與測試流程結(jié)合，通過插樁方式在完成應(yīng)用功能測試的同時即可完成安全漏洞檢測。檢測通過夫子ASOC平臺與藍(lán)鯨DevOps平臺集成，確保在上線之前有效管控應(yīng)用的安全性，確保外包項目及內(nèi)部自研項目均按照標(biāo)準(zhǔn)化的安全管控流程進行安全治理。

這些工具不僅僅是簡單地集成到平臺中，更是深度融合到用戶的流程和體系內(nèi)。通過深度融合實現(xiàn)安全工具與業(yè)務(wù)流程的無縫銜接，確保每個環(huán)節(jié)都能得到有效的安全保障，從而全面提升系統(tǒng)的整體安全性。

根據(jù)不同的軟件特性從編碼階段、測試階段、部署階段、運維階段的安全結(jié)果同步到對應(yīng)的負(fù)責(zé)人員，將流程化管控流轉(zhuǎn)，軟件發(fā)布時嚴(yán)格把控業(yè)務(wù)系統(tǒng)上線運營的最后一環(huán)，為項目的應(yīng)用軟件提供自動化應(yīng)用安全風(fēng)險檢測服務(wù)，結(jié)SCA、IAST等工具對資產(chǎn)全面分析安全現(xiàn)狀，實現(xiàn)安全質(zhì)量管控及全流程審批追溯能力。

同步運營的角度建設(shè)個性化的階段任務(wù)工作流，覆蓋應(yīng)用漏洞、開源漏洞、知識產(chǎn)權(quán)風(fēng)險等多維度的安全評估，全面覆蓋線上運營環(huán)境涉及到的業(yè)務(wù)安全場景，將專家安全能力持續(xù)賦能給傳統(tǒng)IT項目人員，使安全思想注入安全全生命周期，動態(tài)跟蹤威脅的處理流程，從需求提出、威脅發(fā)現(xiàn)到安全需求驗證，實現(xiàn)全流程閉環(huán)管理幫助企業(yè)流程化、自動化、制度化的保障業(yè)務(wù)安全。

通過SCA、IAST工具可以有效地結(jié)合到軟件各生命周期階段，促進應(yīng)用安全防護“左移”落地，將代碼疫苗技術(shù)注入到應(yīng)用內(nèi)部，可以清晰地看到內(nèi)存中解析后的流量，感知業(yè)務(wù)運行過程的上下文，具體定位其中的漏洞和威脅并積極的防御阻斷攻擊。

從源頭追蹤軟件供應(yīng)鏈在開發(fā)、測試、部署、運營等關(guān)鍵環(huán)節(jié)面臨的應(yīng)用安全風(fēng)險與未知外部威脅，幫助民生證券逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進的積極防御體系，降低安全管控成本。

性能與穩(wěn)定性：在滿足信創(chuàng)要求的同時，保證系統(tǒng)的穩(wěn)定運行和高效處理能力，包括在統(tǒng)一并發(fā)場景下的性能檢測和記錄，確保在高負(fù)載情況下也能保持服務(wù)的連續(xù)性和可用性；

持續(xù)監(jiān)測與響應(yīng)：采用IAST、SCA等現(xiàn)代安全測試技術(shù)，實時監(jiān)測應(yīng)用程序安全風(fēng)險，及時發(fā)現(xiàn)并響應(yīng)安全漏洞，特別是在軟件開發(fā)和運維的全生命周期中融入安全考量。

①通過私服制品倉庫的建立、數(shù)字供應(yīng)鏈防火墻與門禁規(guī)則配合，嚴(yán)格控制第三方和開源組件的來源；

②研發(fā)人員需要安裝SCA與SAST工具提供的IDEA、VisualStatio等IDE插件，在編碼過程中經(jīng)常使用插件進行代碼質(zhì)量掃描，此時的修復(fù)成本是最低的；

③針對代碼倉庫提供發(fā)版觸發(fā)SCA與SAST工具進行掃描，通過質(zhì)量門禁進行發(fā)版質(zhì)量管控與阻斷。同時針對代碼倉庫進行定時全量回掃，嚴(yán)格保障代碼倉庫的清潔；

④測試階段通過引入IAST工具實現(xiàn)安全測試左移，在測試人員進行功能測試、性能測試的同時完成低侵入自動化滲透測試。由于IAST可以精確定位到漏洞的具體位置到代碼行和相關(guān)參數(shù)，并且提供相應(yīng)的修改建議和代碼示例，可以幫助研發(fā)人員更早期發(fā)現(xiàn)安全漏洞，更低成本地解決安全漏洞，降低因安全問題導(dǎo)致返工的概率；

⑤建立安全編碼規(guī)范和安全測試標(biāo)準(zhǔn)：建立編碼規(guī)范、對安全人員進行安全培訓(xùn)、引用相對安全的開發(fā)框架。建立統(tǒng)一的測試標(biāo)準(zhǔn)(測試項),盡可能覆蓋各種類型的安全漏洞；

⑥通過ASOC進行總體調(diào)度，將開發(fā)安全、漏洞管理、開源組件安全、供應(yīng)鏈安全進行統(tǒng)一管理，實現(xiàn)漏洞數(shù)據(jù)的統(tǒng)一分析及整體關(guān)聯(lián)全程治理.

通過明確識別和詳細(xì)記錄軟件組件及其相互關(guān)系以提升軟件透明度，可以增強軟件供應(yīng)鏈的安全可控能力。

通過構(gòu)建詳細(xì)的軟件物料清單，幫助企業(yè)或團隊梳理并透明化軟件資產(chǎn)，對漏洞風(fēng)險、許可證風(fēng)險進行管控治理，提高供應(yīng)鏈安全性，防止軟件供應(yīng)鏈攻擊等安全風(fēng)險。對軟件供應(yīng)鏈生命周期中引入、生產(chǎn)、應(yīng)用的各類資產(chǎn)進行統(tǒng)一的匯總管理，包括企業(yè)內(nèi)部自研的軟件及外部采購的軟件，從更細(xì)維度劃分，包括應(yīng)用、軟件、組件、文件、代碼片段等資產(chǎn)的管理。

其價值如下：

①資產(chǎn)管理：查看組件、許可資產(chǎn)；從組件出發(fā)，溯源被哪些服務(wù)在線上使用；構(gòu)建資產(chǎn)圖譜，可根據(jù)應(yīng)用包，文件等維度檢索；

②漏洞管理：從漏洞出發(fā)，訂閱最新情報，溯源哪些組件被影響；從應(yīng)用維度出發(fā)，查看應(yīng)用制品SBOM的漏洞信息；

③安全事件：追蹤漏洞修復(fù)狀態(tài)，如未修復(fù)，已修復(fù)；按照時間維度統(tǒng)計漏洞的產(chǎn)生，修復(fù)變化趨勢能夠訂閱漏洞情報，對運行的應(yīng)用告警；

④應(yīng)急處置：在開源與第三方組件，以及成品軟件系統(tǒng)爆發(fā)0day漏洞時，通過SBOM體系完整供應(yīng)鏈資產(chǎn)信息，第一時間定位公司是否受到漏洞影響，并定位到服務(wù)器、項目組、負(fù)責(zé)人層級，快速應(yīng)急處置；

⑤其他拓展能力：SBOM多風(fēng)險維度組合過濾；SBOM生成工具提供給供應(yīng)商；SBOM差異比較等。

依托懸鏡數(shù)字供應(yīng)鏈安全情報預(yù)警平臺能力，建立開源風(fēng)險情報響應(yīng)機制，應(yīng)用漏洞事件預(yù)警、供應(yīng)鏈投毒事件、開源許可糾紛事件等開源組件風(fēng)險情報，實時預(yù)警企業(yè)行業(yè)內(nèi)安全事件，提前響應(yīng)及防護。

單獨的漏洞信息實際很難被應(yīng)用，只有圍繞漏洞所能導(dǎo)致的真實風(fēng)險來提供漏洞情報，才是抵御漏洞威脅的突破口。懸鏡數(shù)字供應(yīng)鏈安全情報預(yù)警平臺聚合全面的多維度漏洞信息，通過漏洞復(fù)現(xiàn)、標(biāo)簽標(biāo)定、補丁驗證、POC/Exp測試等一系列流程，形成精準(zhǔn)可靠的漏洞情報，實時賦能在相關(guān)產(chǎn)品上。

其核心能力如下：

①AI智能情報分析：基于AI安全大數(shù)據(jù)云端分析能力，實時對全球數(shù)字供應(yīng)鏈安全漏洞、投毒情報進行動態(tài)檢測，并交叉驗證風(fēng)險，使用專業(yè)的情報發(fā)布標(biāo)準(zhǔn)，確保漏洞情報快速可靠；

②SBOM資產(chǎn)測繪：結(jié)合SBOM資產(chǎn)數(shù)據(jù)，精準(zhǔn)識別資產(chǎn)風(fēng)險，及時分發(fā)預(yù)警；

③漏洞優(yōu)先級排序：使用VPT漏洞優(yōu)先級評估模型及專家團隊運營理念，對漏洞實際可產(chǎn)生的危害重新定級，更加符合國內(nèi)安全環(huán)境的定級標(biāo)準(zhǔn)，構(gòu)建科學(xué)的漏洞生產(chǎn)運營體系，并提供完善的修復(fù)建議和補丁信息，提升漏洞運營處置效率。

通過夫子ASOC敏捷安全賦能平臺+源鑒SCA開源威脅管控平臺+靈脈IAST灰盒安全測試平臺的全面化建設(shè)，結(jié)合安全左移的理念，將安全融入到軟件生命周期的研發(fā)階段，從根源上介入安全管控。

針對自研項目和外包項目，在軟件生命周期的不同階段引入SCA（軟件成分分析）和IAST（交互式應(yīng)用安全測試）等安全檢測工具，實現(xiàn)自動化安全風(fēng)險分析、質(zhì)量管控及漏洞信息的分發(fā)流程管控。

SCA工具能夠有效識別第三方組件中的已知漏洞，IAST則能在測試階段精準(zhǔn)定位應(yīng)用內(nèi)部的安全缺陷，顯著提升漏洞檢測效率。

通過優(yōu)化工作流程，提升系統(tǒng)應(yīng)用安全的管理效率和運營能力，降低漏洞修復(fù)所帶來的成本，最終落地基于DevSecOps體系的應(yīng)用安全開發(fā)管控平臺，保障民生證券數(shù)字應(yīng)用安全風(fēng)險的高效治理。

通過民生證券DevSecOps開發(fā)安全一體化管控平臺建設(shè)，構(gòu)建全面的安全開發(fā)流程，實現(xiàn)對研發(fā)人員及安全管理人員提供安全管理依據(jù)。

軟件投產(chǎn)時嚴(yán)格把控業(yè)務(wù)系統(tǒng)上線運營的最后一環(huán)，為項目的應(yīng)用軟件提供自動化應(yīng)用安全風(fēng)險檢測服務(wù)，結(jié)合SCA、IAS工具對資產(chǎn)全面分析安全現(xiàn)狀，實現(xiàn)安全質(zhì)量管控及全流程審批追溯能力。

同步運營的角度建設(shè)個性化的階段任務(wù)工作流，覆蓋應(yīng)用漏洞、開源漏洞、知識產(chǎn)權(quán)風(fēng)險等多維度的安全評估，全面覆蓋線上運營環(huán)境涉及到的業(yè)務(wù)安全場景，將專家安全能力持續(xù)賦能給傳統(tǒng)IT項目人員，使安全思想注入軟件全生命周期，形成統(tǒng)一的安全風(fēng)險處理流程，從需求提出、風(fēng)險發(fā)現(xiàn)到安全需求驗證，實現(xiàn)全流程閉環(huán)管理幫助企業(yè)流程化、自動化、制度化的保障業(yè)務(wù)安全。

建立完善豐富的安全工具鏈體系，持續(xù)賦能研發(fā)測試人員安全測試能力，提前發(fā)現(xiàn)安全風(fēng)險，提升漏洞檢出率及覆蓋面，集合全生命周期的漏洞管理流程，建立了安全持續(xù)運營過程。

針對現(xiàn)有的瀑布及Devops模式投產(chǎn)評審項中加入“交互式安全測試”項進行有效的安全管理約束，針對DveOps模式在開發(fā)項目中實現(xiàn)工具的統(tǒng)一調(diào)用、漏洞匯集、自動觸發(fā)、自動復(fù)查，質(zhì)量管控規(guī)則流程控制等，實現(xiàn)在測試階段自動發(fā)現(xiàn)應(yīng)用相關(guān)的應(yīng)用漏洞風(fēng)險，落地安全左移理念盡早的發(fā)現(xiàn)漏洞及處理漏洞逐步減少漏洞的產(chǎn)生。

同時為安全管理人員、研發(fā)人員、測試人員等提供更豐富的漏洞修復(fù)參考安全需求等信息，提高整體安全管控水平及漏洞修復(fù)的積極性、必要性，有效地降低安全漏洞數(shù)量。

在軟件開發(fā)測試階段無縫嵌入安全測試，在運營環(huán)境嵌入內(nèi)生安全防御能力，不僅僅可實現(xiàn)理想的DevSecOps安全開發(fā)全流程，收斂安全工作，也可以在一定程度上覆蓋部分人工滲透難以測試覆蓋的業(yè)務(wù)點，高效實現(xiàn)應(yīng)用上線前的安全審查，防止應(yīng)用帶病上線及安全運營。從而實現(xiàn)了外部安全左移+內(nèi)生，降低安全修復(fù)成本，源頭解決應(yīng)用內(nèi)部風(fēng)險。

通過整體安全開發(fā)運營體系建立，實現(xiàn)安全全流程管理，將安全流程固化至民鑒"信創(chuàng)應(yīng)用安全管理平臺，實現(xiàn)全流程安全自動化管控的同時，引入相關(guān)工具鏈，賦能開發(fā)流程中的每一環(huán)節(jié)，在開發(fā)流程中嵌入安全能力，實現(xiàn)研發(fā)運營安全一體化，將安全前置左移，降低漏洞修復(fù)成本和提高修復(fù)效率，降本增效，最終形成一套適合民生證券自身的安全開發(fā)運營的流程體系。

民生證券在數(shù)字化轉(zhuǎn)型過程中，深度采用了懸鏡安全提供的DevSecOps工具，包括靈脈IAST、源鑒SCA及夫子ASOC等，以增強軟件開發(fā)過程中的安全性。靈脈IAST以其高效的動態(tài)應(yīng)用安全測試能力，幫助我們在開發(fā)階段及時發(fā)現(xiàn)并修復(fù)潛在安全漏洞，提高代碼質(zhì)量。

源鑒SCA在金融行業(yè)的開源治理中展現(xiàn)了其應(yīng)用實踐，通過存量和增量檢測，覆蓋代碼倉庫、制品倉庫、運行時應(yīng)用，檢測企業(yè)當(dāng)前存量組件或軟件的已知風(fēng)險，提升了開源組件的檢測結(jié)果。

夫子ASOC作為安全運維的核心，整合了多種工具和服務(wù)，通過實時監(jiān)控與自動化響應(yīng)機制，確保系統(tǒng)安全穩(wěn)定運行。這些工具不僅提升了我們的安全性，也優(yōu)化了開發(fā)流程，極大減少了安全團隊的工作負(fù)擔(dān)。懸鏡安全的產(chǎn)品和服務(wù)為我們的數(shù)字化進程帶來了顯著的價值，我們非常期待長期合作。