一、解决方案简介

DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的政企安全服务，为金融、电信、政务、能源、教育等行业用户提供创新灵活的智适应安全管家解决方案。

作为一家“技术型”+“学院派”的网络安全厂商，悬镜安全背依北京大学网络安全实验室，以AI攻防技术为产品驱动核心，将红蓝对抗经验融合至DevSecOps全流程的产品和服务之中，从而形成了独特的悬镜 DevSecOps 智适应威胁管理体系，为企事业客户提供包括威胁建模、开源治理、风险发现、威胁模拟、检测响应在内的的全生命周期安全解决方案，包括：

威胁建模：夫子DevSecOps安全开发赋能平台；

开源治理：源鉴OSS开源威胁管控平台；

风险发现：灵脉IAST灰盒安全测试平台；

威胁模拟：灵脉PTE智慧渗透测试平台；

检测响应：悬镜EDR云卫士自适应安全运营平台。

以前沿的技术能力为客户提供全流程、一站式的安全赋能与安全保障。

本方案覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段，强调自动化与一体化，将安全由CI/CD平台构建的DevOps体系自动推动到整个开发和运维流程之中，实现将安全贯穿从开发到运营整个业务生命周期每一个环节，是一种低侵入、高效率、全覆盖的新一代突破性威胁管理解决方案。

本方案辅以悬镜专家级安全服务，包括SDL安全咨询、等保咨询、安全开发实训、源代码审计、应急响应、渗透测试、风险评估、攻防演练等悬镜实战攻防对抗为特色的政企安全服务，实现全流程、全对象、全维度的威胁管理。

图1 悬镜DevSecOps智适应威胁管理体系

1）、DevSecOps与DevOps

DevOps是一组过程、方法与系统的统称，用于促进开发、技术运营和质量保障(QA)部门之间的沟通、协作与整合，结合了文化理念，技术实践和工具，帮助开发和IT运营团队协同工作，可顺利推进快速频繁的开发周期（有时全程只有数周或数天），但过时的安全措施会造成负面影响，导致流程中缺乏安全质量的考虑和控制。

如果说DevOps促进的是开发和运营流程的自动化与协作，那么DevSecOps则解决的是安全与开发团队之间的历史遗留问题，使开发、安全与运营不再相互分割独立。DevSecOps整个流程中所有工作人员都对软件的安全负责，目标是在不以牺牲安全性为代价的情况下，用快的速度和规模将安全策略分配至每个流程中的关键人员加以执行。

图2 DevSecOps流程（图源：Gartner）

2）、DevSecOps智适应威胁管理解决方案工具链

悬镜DevSecOps工具链模型根据悬镜安全专家多年的行业经验，充分考虑了安全措施的落地性和实用性，在不明显增加时间与经历投入的基础上，尽量在全生命周期上保障软件应用的安全。悬镜DevSecOps工具链模型在Gartner模型的基础上，优化了每一环节上的安全方案，使全流程的安全性有了指数级的提高。

①软件编码阶段

进行应用安全测试（AST），开源组件检测（OSS），软件成分分析（SCA）。通过阶梯式检测方案，在研发不同阶段介入为合适的检测方式和优检测规则，确保在每个流程上都只检出真实漏洞。所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保更为有效的真实漏洞检出概率并降低误报导致的人工分析成本和落地阻力。

②软件测试阶段

交互式安全测试（IAST），灵脉IAST灰盒安全测试平台通过获取功能测试人员测试交互流量，并以此取代DAST的自行构造模式。基于模糊测试（fuzz）思想对流量进行攻击代码随机插入和攻击流量构建，自动化对被测程序进行安全测试，并在测试过程中借助插桩监控平台对被测程序的运行轨迹进行实时跟踪和介入。一旦攻击流量触发安全问题，插桩平台不仅可以*****时间捕获安全问题，还能够精确定位到漏洞所在的代码文件、行数、函数及参数。通过这种方式，交互式应用安全测试既能保证检出漏洞的有效性，有效降低误报，还能够精准定位漏洞，帮助研发人员更好进行漏洞修复和回归，有效提升测试过程安全检测能力。通过IAST的新型测试模式，其还可以覆盖更多传统DAST无法触及的安全范畴，包括逻辑类漏洞检测自动化、双向加密数据获取等，实现更为良好的安全检测能力。

③上线迭代阶段

进行应用安全测试（AST），自动化渗透测试（Automated-PT）,运行时应用自保护（RASP），终端检测与响应（EDR）。常态化安全运营，风险管理（RM）贯穿所有阶段，对项目上线后所在的服务器资产、中间件以及项目本身进行7*24小时周期性安全检查，相当于有一个安全团队或渗透测试工程师全天候管理线上资产、站点以及中间依赖的安全问题，有效确保安全健壮性。

④平台部分

悬镜DevSecOps智适应威胁管理解决方案可通过统一平台，将上述各流程的介入工具检测结果进行统一展示和操作，方便用户闭环安全问题、发现高频安全盲区以及进行安全量化统计等。

夫子DevSecOps全流程安全赋能平台作为悬镜DevSecOps智适应威胁管理体系的全流程管理平台，不仅聚焦开发早期需求分析、架构设计阶段的威胁建模，还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位就是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员，使安全思想注入DevSecOps全生命周期，帮助企业组织流程化、自动化、持续化地保障业务安全。

3）、服务部分

①普及性赋能

DevSecOps建设前期为各研发环节人员进行普及性安全知识赋能，培养各环节技术人员相关安全意识，并使其了解其安全职责，为后续向其提供工具落地其赋能知识提供理念基础。

②针对性赋能

DevSecOps建设后期根据IAST等环节经常出现的漏洞类型、研发人员知识盲区进行针对性赋能培训，终还可根据上述数据针对性制定规章制度，实现制度的针对性逆推落地。

③常态化安全咨询

在DevSecOps建设各环节，悬镜DevSecOps智适应威胁管理解决方案均向客户提供保姆式常态化安全咨询，有效协助分析和解决DevSecOps落地难点，并实现对不同行业线的安全痛点的针对性建议和定制化DevSecOps建设方案规划。

④安全驻场服务

悬镜DevSecOps智适应威胁管理解决方案可提供陪伴式安全驻场，通过派遣专业安全人员进驻客户一线研发团队，帮助客户解决研发安全落地过程中的技术、流程困境，协助解决研发安全落地痛点，并提供有效行为措施和数字材料。

二、应用场景痛点简介

随着互联网和云计算、大数据、人工智能、物联网的高速发展，数字信息所面临的威胁也愈发严峻，根据国家信息安全数据库（CNNVD）的数据，近年来我国每年漏洞数量以两位数百分比高速增长。来自卡巴斯基对全球26个国家的调查结果表明，每一个应用漏洞会增加3.8-55.1万美元的直接成本，8000-6.9万美元的间接成本，绝大多数企业无法忽视应用软件漏洞所导致的损失。

然而企业面临业务上线压力时，往往实行“业务优先”，大量安全漏洞在上线安全测试阶段才被发现。而在软件应用生命周期中，修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长，在业务系统开发完成后的漏洞修复成本高昂。同时传统的安全漏洞发现治理，各个工具与服务各自为战，无法形成统一的综合管控，无法完成漏洞管理的闭环。企业缺少可轻量化落地的解决方案，“业务”和“安全” 一直成为相对矛盾、对立的两个面。

DevOps在金融行业中已经得到了应用，它用于促进开发、技术运营和质量保障(QA)部门之间的沟通、协作与整合帮助开发和IT运营团队协同工作，可顺利推进快速频繁的开发周期（有时全程只有数周或数天），但过时的安全措施会造成负面影响，导致流程中缺乏安全质量的考虑和控制。如何引入安全属性到金融机构已建成的DevOps体系中，成为一大重点。

现在越来越多的金融机构企业重视开发安全工作，也开始建立了相应的DevOps流程及体系，但应用系统上线后安全漏洞却依然频繁出现。经过DevOps服务项目实践和深入思考分析，将原因在下文中进行描述。

具体痛点：

1）、企业缺乏合理的开发安全质量考核

企业面临业务上线压力时，往往会实行“业务优先”的风格，大量安全漏洞在上线安全测试阶段才被发现。“业务”和“安全”一直成为相对矛盾、对立的两个面。只有解决DevOps到DevSecOps的转化，才能设计出合理的安全考核标准。

同时，针对外包开发商开发的项目同样需要遵从企业的研发运营流程，因此此类项目需要在招标、签合同等项目建立阶段就提出相关安全质量要求，并确立有效的项目考核机制和处罚细则，以保证终的开发安全质量。

2）、企业员工安全能力和安全经验不足

应用系统开发流程中编码、测试等各阶段需要企业自有安全、研发、测试人员的介入。

编码阶段，研发人员安全编码能力参差不齐，并且缺少安全自查能力；

测试阶段，测试人员缺乏安全测试能力，安全测试常常滞后到上线阶段。

3）、DevOps流程安全工具缺乏或不够完善

很多企业现有DevOps体系只有相关流程、制度和实施指南，更细层面的安全表单类工具却往往缺乏或不够完善，难以有效支撑企业在应用系统开发流程中各阶段流程的落地。

4）、企业未能形成DevSecOps管理流程的闭环

很多企业在DevOps实施之后在应用系统运行阶段发现大量的安全漏洞，这个现象一方面说明了DevOps的不够完善，另一方面说明企业缺乏安全漏洞对DevOps安全规范的反哺机制。只有专业的安全团队不断地将己有的经验和安全运营发现的安全漏洞作为输入进行转化和沉淀才能形成适用于企业的成熟的DevSecOps安全规范。

5）、敏捷开发模式难以将安全包含在内

越来越多的企业从传统的瀑布式开发模式转向CI/CD (持续集成、持续交付Continuous Integration and Continuous Delivery ) 的敏捷开发模式。在敏捷开发模式下应用程序的版本快速迭代、自动化完成测试和部署，传统的SDL流程的介入将会使得原有的敏捷开发流程不再敏捷，急需安全产品能够集成CI/CD平台，集成DevOps工具链中的开发运维工具。

三、解决方案亮点介绍

 1）、零门槛、无感知安全测试

如上所述，研发人员的主业，永远是功能的实现和按期交付，若安全的建设未能满足或过于干涉其该根本需求，一定会出现落地阻力，基于此，悬镜DevSecOps智适应威胁管理解决方案业内首创0门槛、无感知的安全介入方案，不更改原有工作流程，不增加相关人员工作量，不更改其工作方式，从而实现更为有效的安全落地。

2）、统一的上线检测流程

针对研发过程中的低质量代码交付问题，通过悬镜DevSecOps智适应威胁管理解决方案建设统一的交付前检测流程，设定红线级规定，要求交付项目必须通过悬镜DevSecOps智适应威胁管理解决方案统一安全测试，且无特定中高危漏洞，从而实现对企业自身的统一上线检测流程建设和漏洞控制。

3）、低误报、高检出

相比于传统黑白盒的漏报、误报问题，悬镜DevSecOps智适应威胁管理解决方案通过阶梯式检测方案，在研发不同阶段介入为适合的检测方式和优检测规则，确保在每个流程上都只检出真实漏洞，所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保更为有效的检出概率。

4）、国内领先的逻辑类漏洞自动检测方案

逻辑类漏洞一直是业内安全难点，传统手段均需要人工手工渗透，过于依赖相关人员能力和经验，导致存在较大遗留隐患。悬镜DevSecOps智适应威胁管理解决方案的悬镜灵脉IAST部分是国内领先的支持逻辑类漏洞自动检测的方案，能够自动化对水平越权、垂直越权、固定验证码等逻辑类漏洞进行安全检测，有效解决逻辑类漏洞检测难点。

5）、规范的漏洞回归流程

漏洞回归过程中，研发人员可能出现使用“规避式”修复方式，即并未真实修复漏洞，仅通过修改少量代码方式“治标不治本”，导致漏洞依然遗留。针对此问题，悬镜DevSecOps智适应威胁管理解决方案通过一键回归测试功能，使用检出漏洞时的攻击代码重新进行攻击测试，真实确认漏洞修复状态，防止“规避式”漏洞逃避检测遗留上线。

图 3 灵脉IAST平台工作流程

6）、拥有自己的研发安全能力

传统上线前的安全测试，企业多为选择第三方安全公司进行渗透测试，该方法不仅成本高昂，且测试效果受测试人员能力影响，效果往往良莠不齐。同时此方法完全依赖第三方，无法对自身缺失能力进行建设和补齐，往往导致“成本陷阱”。悬镜DevSecOps全流程方案全部旨在提升企业自身安全能力，建设企业自身安全能力，逐步实现对第三方安全服务的依赖，显著降低成本。

7）、安全能力输出

悬镜DevSecOps智适应威胁管理解决方案IAST环境的流量镜像方式，不仅可以对自身项目进行安全测试，还可以利用该方法对第三方项目进行安全能力输出，通过获取第三方线上业务流量，帮助第三方测试环境业务进行安全测试，实现自身安全能力的对外宣贯输出。

8）、DevSecOps无缝街接

鉴于目前很多行业线进行的DevOps建设，悬镜DevSecOps智适应威胁管理解决方案各阶段安全方案均可与对应DevOps环节方案进行无缝衔接，轻松将企业己有DevOps无缝升级为DevSecOps流程，在不影响原有效率、流程的同时显著提升安全能力质量，为高质量项目交付提供有力保障。

图4 DevOps向DevSecOps的“进化”

四、金融行业客户名单

金融行业客户名单：中国人民银行软件中心、中信建投证券、中国银联、中国工商银行、广州农村商业银行、榆次融信村镇银行（不展示）等。

五、客户评价

凭借悬镜原创“DevSecOps智适应威胁管理体系”新一代敏捷安全解决方案，不断为金融、能源、电力、运营商及教育等行业用户持续赋能，合力构筑适应甲方业务弹性扩展并面向敏捷业务交付的内生安全开发运营体系。

做好DevSecOps敏捷安全体系建设，配套工具链技术的支撑非常重要。DevSecOps智适应威胁管理解决方案采用平台＋工具链的支撑，融合悬镜安全的技术积累硬实力，打造多款新兴的安全工具，在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等新特性，可为银行、证券等金融行业的数字化业务系统提供相对准确的安全测试和审查帮助。