比瓴科技正式加入上海金融科技產業聯盟創新監管聯合實驗室
比瓴科技正式加入上海金融科技產業聯盟-創新監管聯合實驗室(以下簡稱:實驗室),愿攜手實驗室共同促進滬金融科技創新發展。
上海金融科技產業聯盟(以下簡稱“聯盟”)是由上海國際集團倡議發起,人行上海總部、銀保監上海監管局、證監會上海監管局、市金融局、市國資委、市經信委、市科委8家監管機構和政府部門出任聯盟指導單位,成立的上海金融科技領域第一個市級產業聯盟。
實驗室是聯盟設立的跨界金融科技創新合作平臺,致力于為金融要素市場、金融機構、科技企業提供協同創新機制,發現、培育、儲備一批創新型科技企業和創新項目,為上海金融科技創新監管試點提供支撐,推動前沿技術與金融場景深度融合,打造面向市場的金融科技生態圈。
上海比瓴作為華東地區的營銷服務中心,具備成熟的技術咨詢服務能力,可面向銀行、證券、基金、保險等金融行業提供集安全產品與安全服務于一體的平臺化解決方案,幫助企業建立高效敏捷的開發安全管理體系。
某城市商業銀行SDL體系建設案例
項目背景
某城市商業銀行于2021年推動SDL體系建設,在體系落地過程中,發現存在以下問題:
1)缺乏對軟件設計人員標準化規范化的指引和約束,導致軟件設計頻頻出現安全缺陷;
2)同類型漏洞反復出現,漏洞數量仍然居高不下,修復成本未見明顯下降;
3)應用安全測試工具與開發流程未能有效整合,安全測試覆蓋面相對不足;
4)安全開發全流程安全管控能力不足,安全活動質量門禁僅依靠上線前的滲透測試和線下評審會議。為解決以上問題,開展本項目建設。
建設內容
比瓴科技在深入了解該銀行的開發安全現狀與業務需求后,制定了SDL安全開發計劃提升路線圖,建立以安全活動集中管控、研發安全能力賦能、統一線上評審的SDL落地解決方案。基于我公司自研產品應用安全平臺,實現可持續的開發安全能力提升和有效安全左移。
安全需求設計智能化:基于應用安全平臺,構建安全開發知識庫,通過場景化需求問卷實現應用風險評級、變更范圍分級和安全需求分析能力。需求問卷按業務場景關聯安全需求、安全設計、合規要求和風險管理需求等安全基線,實現智能化的威脅建模和開發工作流程分級管控。
安全測試工具自動化:通過應用安全平臺,整合行內SCA、SAST、IAST等安全測試工具。由平臺統一管理檢測任務,根據不同場景需求,靈活調度各類安全工具執行特定劇本,實現自動化的檢測能力,并對檢測數據進行統一管理。
安全開發全流程一體化:通過應用安全平臺,將安全需求分析、安全開發實施、安全測試驗證、上線發布管理任務活動,以安全開發工作流的方式,整體對接融入客戶內部的應用開發全流程平臺,打通項目應用的需求信息、應用信息、人員部門信息,實現了在不改變現有研發流程的情況下,完成全流程安全活動的集中管控。
項目價值
項目建設完成后,經過試點推廣發現,可有效解決該行之前在各軟件開發中心推廣SDL遇到的難點問題,實現了全行安全開發能力的提升。主要表現為:
1)識別的安全需求數量上升,設計階段安全缺陷明顯減少;
2)安全測試工具使用率提升,安全測試覆蓋面顯著擴大;
3)應用上線后安全漏洞數量明顯下降。
比瓴科技將遵循上海金融科技產業聯盟互利、合作的理念,以“開放交流、前沿展示、合作共贏、生態創新”為宗旨,為聯盟打造金融科技中心提供技術支撐。
比瓴科技專注于軟件供應鏈安全領域,以AI和數據為核心提供覆蓋全場景的軟件供應鏈安全產品和安全咨詢服務。打通應用安全數據孤島,實現安全運營過程自動化,增強應用軟件資產風險可視性,為軟件安全保駕護航。
