一、项目背景及目标

当前全球金融行业网络安全形势严峻，高级持续性威胁、勒索软件等新型攻击手段层出不穷，对金融机构业务连续性和数据安全构成严重威胁。江南农商银行积极响应中国人民银行在《金融科技发展规划（2022-2025年）》中，关于“强化金融网络安全防护能力”的号召，以DevSecOps为核心理念，启动安全开发一体化项目建设，旨在解决传统开发模式的痛点，构建自主可控的安全开发体系。

传统开发模式存在显著短板：一是风险发现晚、修复成本高，安全测试多置于流程末端，发现问题时需大规模返工，易导致项目延期；二是协同效率低，安全工具散乱形成“工具孤岛”，难以形成管理合力；三是被动合规、管理负担重，应对监管依赖人工梳理与事后补救，缺乏合规要求与技术控制点的有效衔接；四是安全能力不均衡，开发人员安全意识与编码技能不足，安全工作过度依赖少数专家，难以规模化推广。

基于此，安全开发一体化项目通过整合安全工具链、优化研发流程、培育安全文化，将安全能力“左移”至需求、设计、编码、测试等早期阶段，构建一套自动化、智能化、流程化的落地实施方案。本项目不仅能对抗日益复杂的安全威胁，更推动了中小银行实现“安全内生、合规内嵌”的数字化转型。其核心目标是实现安全与研发流程的无缝融合，在保障业务快速迭代的同时，将安全风险扼杀在摇篮之中，最终达成业务发展与安全合规的和谐统一，为中心银行业提供了从“被动合规”到“主动免疫”的实践路径，具有显著的示范效应和战略价值。

二、创新点

江南农商银行开发安全运维一体化体系的建设，并非对市面现有工具的简单堆砌，而是在深度理解自身业务与技术挑战的基础上，开展具有行业领先性的自主规划与技术创新，具体可分为三大方向：

（1）构建自主可控的一体化平台与可复制体系。该体系以自主设计建设的中心化管理平台为核心，向下通过标准接口统一纳管、调度各类安全工具，支持工具在研发流程中灵活嵌入或移除；向上为开发、安全、运维等角色提供统一工作视图与协作流程，避免被单一技术或厂商锁定，保障技术选型灵活性与未来扩展性。同时，平台采用模块化、低代码设计，贯彻DevSecOps理念，不在工具选型上设限，仅要求在系统建设关键节点增设安全控制措施，支持快速适配不同中小银行的业务特点与技术栈，可在原有项目管理平台内改造或扩展，降低同类机构实施门槛，提供可复制的实施路径。

（2）打造精细化、自动化的安全管控机制。项目实现漏洞全生命周期端到端自动化管理，平台能自动解析工具扫描报告、合并重复漏洞、定级并派发工单，开发人员修复后，流水线自动触发复查验证，大幅减少人工干预，提升漏洞响应与处置效率。

（3）创新多方协同治理与开发者赋能模式。在治理层面，构建“科技+风险+业务”三方协同机制，需求分析阶段即同步考虑业务可行性、客户体验与安全设计诉求，避免后期反复改造，为中小银行治理结构优化提供思路。在能力建设层面，体系兼具安全管控与赋能功能，将安全知识与开发场景结合，通过“即时反馈、即时学习”模式，把抽象安全规范转化为具体操作指导，逐步将安全意识与能力“内建”于开发团队，提升软件产品内生安全性能，推动安全管理从“被动防御”向“主动免疫”转变。

三、项目技术方案

1、安全左移整体设计层

作为架构核心指导层，分管理要求与技术实践两方面：

管理要求：明确开发、测试、安全、配置等各条线角色职责与交付物，建立“多条线团队审核+安全专家风险评估”的关键节点管控机制，未通过评估不可进入下一阶段。

技术实践：针对立项、开发、测试、运营投产四阶段设计差异化安全控制措施，如立项阶段引入安全需求分析工具与威胁建模，开发阶段推行安全编码规范与自查复核机制，测试阶段集成安全测试工具，运营投产阶段强化主机监控与漏洞动态清零。

2、安全开发一体化功能层

作为架构的核心载体，承担全生命周期线上管理功能：

流程化与可视化：将立项、设计、测试、运营投产各阶段节点转化为线上流程，实时展示各阶段状态与交付物，对比初期计划监控项目周期可控性；

资源归集：集中存储系统代码、各阶段文档（如需求说明书、风险评估报告）、工具扫描结果，支持全周期数据追溯与查询。

3、安全工具链层

围绕全生命周期各阶段配置核心安全工具，形成工具链支撑：

威胁建模工具（辅助编写安全需求，识别业务需求风险点）；

代码审计工具（依据安全编码规范开展自动化扫描）；

测试阶段：IAST（交互式动态应用安全测试）工具、主机安全软件（对准生产环境主机进行安全扫描）；

自动化部署工具（减少人工操作风险，实现系统标准化发布）、堡垒机（管控主机访问权限，记录操作日志）。

4、自动化管控层

将代码安全扫描、漏洞检测、程序发布等功能集成至CI/CD流水线，实现开发与运维环节的自动化安全管控，减少人工干预带来的风险，提升流程效率。

5、支撑保障层

包含安全培训与合规保障，为架构稳定运行提供支撑。

四、项目过程管理

需求分析阶段：2025.03.03-2025.03.14

设计阶段：2025.03.14-2025.03.31

开发阶段：2025.04.1-2025.05.23

测试阶段：2025.05.23-2025.05.30

系统试运行：2025.05.30-2025.07.04

系统正式运行：2025.07.04-至今

五、运营情况

1、安全培训与职责划分：

针对金融开发/测试人员开展安全设计场景专项培训,明确各角色安全职责。

2、安全需求报告效率提升：

生成《项目安全需求报告》并评审,较传统人工梳理减少耗时4天,效率提高36%。

3、工具链整合周期优化：

引入SAST/SCA工具后,整体周期较传统独立扫描缩短2天。

4、渗透测试漏洞发现率降低：

渗透测试漏洞发现率降低17%,安全防护能力显著提升。

六、项目成效

安全开发一体化结合管理侧与技术侧双重控制措施，完善安全开发一体化信息系统建设管理体系，核心聚焦两大方向：

管理体系升级：江南农商银行前期已制定信息系统整体安全管控指南，明确各阶段、各条线工作职能，但未实现管理要求线上化。本年度通过重新梳理安全评估标准，依托一体化研发平台将管理要求转化为线上可控流程，加强安全风险发现及评估整改力度，同时建立“科技+风险+业务”三方协同治理机制，在需求分析阶段充分考虑业务可行性与客户体验，同步细化安全设计诉求，避免后期反复改造。

技术实践强化：扩充需求、开发、测试、运营投产环节的安全控制工具链，通过部署安全需求威胁分析建模工具，以及交互式应用安全测试（IAST）、模糊测试、精准测试等各类测试工具，推动安全“左移”，实现安全与研发关键流程的融合。

七、经验总结

江南农商银行开发安全一体化项目以DevSecOps理念为核心，依托一体化研发平台与安全工具链，形成多维度核心价值，为中小银行提供可落地范式。

项目具领先价值，实现风险与效率双突破：将安全防线嵌入需求设计阶段，业务提需求时自动触发威胁建模生成报告，形成“事前预防”模式；通过标准化API统一纳管威胁建模、IAST等工具，打破“工具孤岛”，实现扫描任务统一调度，跨团队协同能力显著提升。

项目具参考价值，赋能区域性金融机构：此案例成功实现了安全“左移”，建立了覆盖应用全生命周期的漏洞闭环管理机制，为中小银行构建体系化、自动化的安全开发体系提供了宝贵的实践经验与参考价值。

项目具创新价值，体系化解决行业痛点：构建全链路漏洞生命周期自动化闭环管理机制，明确各环节责任；动态安全引擎绑定业务，按应用重要等级差异化管控，为敏捷研发提供柔性安全支撑，筑牢中小银行数字化转型安全底座。