張帥

“軟件正在吞噬整個世界?！?p>

隨著信息化和數(shù)據(jù)化程度的加深以及企業(yè)之間的競爭加劇，這個經(jīng)典論斷正在兌現(xiàn)。軟件成為現(xiàn)代企業(yè)商業(yè)成功的核心所在，新的挑戰(zhàn)同時浮現(xiàn)——軟件敏捷開發(fā)模式下，傳統(tǒng)安全保障方案受限頗多，如何兼顧效率與安全？

基于敏捷開發(fā)場景下的安全管理解決方案成為企業(yè)的首選。

安恒信息安全管理平臺具備自動化多工具上線安全檢測的能力，既避免了完全依賴于人工水平出現(xiàn)難以管控的情況，又能充分發(fā)揮專業(yè)安全人員的價值，保障了系統(tǒng)在開發(fā)階段的安全性。

上海某金融企業(yè)業(yè)務(wù)開發(fā)上線較為頻繁，存在上線前安全測試壓力大、整改修復(fù)周期短、開發(fā)人員對漏洞風(fēng)險(xiǎn)的修復(fù)缺乏專業(yè)認(rèn)識等問題，遂決定采用基于敏捷開發(fā)場景下的安全管理解決方案。

基于安恒信息安全管理解決方案，該項(xiàng)目上線后，在需求階段通過輕量化的威脅建模分析平臺形成了針對業(yè)務(wù)功能的安全要求、設(shè)計(jì)要求以及相對應(yīng)的測試要求，并將這些要求結(jié)合到軟件需求說明書、軟件測試用例清單中，用于指導(dǎo)相關(guān)人員研發(fā)安全的軟件。

同時其還引入了包括源代碼檢測、Web及APP應(yīng)用安全檢測、第三方組件檢測等各類黑盒與白盒的安全檢測工具，可自動對研發(fā)過程中的相關(guān)產(chǎn)物進(jìn)行安全驗(yàn)證，對于工具無法檢測的安全要求則由人工測試完成閉環(huán)。

《計(jì)算機(jī)世界》記者了解到，安恒信息后續(xù)將從三個維度將對安全管理平臺功能進(jìn)行升級：

其一是提供安全管理平臺的可接入性和可擴(kuò)展性，在安全檢測階段增加對插件化的支持，便于插件化對接自動化掃描工具，以應(yīng)對各類靈活開發(fā)的項(xiàng)目，增強(qiáng)平臺對各類主流工具的兼容性，提高個性化需求及自動化檢測能力;

其二是進(jìn)一步深化威脅建模能力，增加安全需求設(shè)計(jì)、安全性要求對接功能，以保證項(xiàng)目初期的安全需求及設(shè)計(jì)符合安全性要求，減少后期開發(fā)成本;

其三是進(jìn)一步深入研發(fā)日常工作，與一些通用的集成開發(fā)環(huán)境例如IDEA聯(lián)動，提供安全的開發(fā)環(huán)境及第三方組件，以方便研發(fā)人員使用等。