嘉橙信安SDL咨询服务_软件安全开发生命周期咨询服务

嘉橙信安SDL咨询服务

嘉橙信安SDL咨询服务，专注于软件安全开发生命周期。提供全面的软件安全开发生命周期咨询服务，从需求分析到设计、编码、测试等各阶段，深度介入。其专业的SDL实施解决方案，有效识别并管控风险，助力企业构建稳固的软件安全开发体系，保障软件产品安全。

立即咨询

首页

数字化产品

安全服务

软件自身安全缺陷是外部攻击的主要焦点 icon

根据Forrester2022年发布的调查数据显示，在已经核实的外部攻击中，软件漏洞与Web应用程序攻击位于前两位。软件漏洞主要指漏洞的利用攻击、web应用程序指基于程序的SQL注入、跨站脚本攻击等，二者都与软件自身缺陷紧密相关。

高速的交付模式带来更严峻的安全风险 icon

高速的交付模式带来更严峻的安全风险

应用安全面临的主要困境 icon

数字化转型期

“十四五”规划“加快数字化发展建设数字中国”
当前对于系统交付速度有较高的需求，系统研发的时间紧任务重，上线期发现安全隐患修复时间长。

安全资源不足

应用软件发布周期越来越短，大量应用系统排期测试，但安全人员配备较少，安全测试跟不上发布速度，导致安全测试不充分，软件带病上线。

传统安全效率低

缺少高效的安全工具，单一的传统安全手段很难契合快速迭代的开发模式，对微服务、分布式等新型框架的检测能力有限，最终导致安全问题的积压。

SDL安全开发生命周期 icon

SDL (Security Development Lifecycle，安全开发全生命周期)，是微软提出的从安全角度指导软件开发过程的管理模式是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。

SDL核心:安全左移一一在软件开发的每一个阶段(立项、需求分析、设计、编码、测试、部署、运维)增加安全活动和安全规范，从安全漏洞产生的根源解决安全问题。
SDL解决的问题:软件开发全流程安全管控、行业监管合规要求、安全知识库、安全资源规划、人员意识及能力、度量体系等。

SDL安全开发生命周期 icon

SDL建设目标在设计、编码、实现阶段的安全漏洞最少化，在开发生命周期中尽早识别并降低安全问题，核心概念包括:培训教育、持续流程改进、责任划分。

SDL落地整体框架

SDL服务体系框架

SDL 与DevSecOps对比 icon

SDL咨询服务流程

SDL体系评估

在开发安全现状过程中，项目组通过制定完整覆盖评估领域和重点的评估地图
,按照严密的评估流程开展评估工作，归纳与评价评估发现，与相关部门积极
开展沟通，形成具有高附加值的项目成果，同时注重知识转移与经验分享。项
目实施步骤如下所示:

调研计划

·制订合理的调研和访谈计划，明确关键的时间节点
·确定关键任务，全面覆盖开发安全相关领域

调研执行

·遵照评估计划，高效的执行评估活动。
·采用现场访谈、文档审阅、现场查看等方法，识别和梳理开发安全现状和可能存在的风险点

差距分析

对访谈调研结果进行整理，按照开发安全各领域进行梳理，为后续开发安全能力成熟度评估和风险评估提供数据支撑。

制度建设

开发安全管控流程

辅导落地

赋能安全团队及开发团队优化SDL体系制度及流程

需求阶段

协助进行安全需求分析
协助进行安全需求评审

设计阶段

协助进行安全设计
协助进行安全设计评审

编码阶段

为安全编码提供指
导

测试阶段

指导完成安全验证测试

涉及团队人员及配合工作

安全组(应用安全、安全管理及规划)

协调试点项目组参与辅导落地及产品试用，协调准备相关软、硬件及网络环境，组织参与安全需求、安全设计评审，组织和参与安全测试。

试点项目组(2个)

协助提供试点项目及相关文档，参与安全需求、安全设计评审，负责安全编码及安全整改。

试点项目组测试代表

参与安全测试，协助提供安全产品试用及安全测试所需资源。

安全开发培训

针对香港移动相关人员开展SDL安全体系能力提升培训,提升其相应的安全意识与能力。

培训目标:
·提升香港移动相关人员SDL安全通用知识技能、专业知识技能;
·通过课程设置，建立安全开发培训课程体系，以期建立完整的人员安全开发能力培养体系，指导后续人员培养工作。

涉及团队人员及配合工作:

安全组(应用安全、安全管理及规划)

其他非安全技术人员(开发、测试、产品、运维)

服务目标

目标:安全提升、过程改进、解决痛点、降本增效

提供SDL体系咨询服务，通过对企业安全开发现状调研，差距分析，评估企业当前安全开发现状，协助企业建设SDL管理体系，实现对软件项目开发安全的全生命周期管控。

用户价值

通过专业咨询服务帮助组织补齐“安全短板”
提升安全体系建设
提升安全研发技术
业务流:打通研发、测试、运维、质量团队部门之间壁垒
工具链:打通不同安全自动化测试工具之间的数据流

通过持续的能力的输出，帮助组织实现“安全价值”
通过孝道SDL咨询团队和用户各团队的协同合作，快
速建立企业级的内生安全能力，交付质量安全
(Safety) 和信息安全(Security)的应用系统，
实现六大安全价值!

分阶段建设

应用案例一某大型制造业企业 icon

SDL咨询

项目背景

“互联网+”和“2025国家战略”正在不断地推动着企业向前发展和变革，而在行业快速国际化的背景下，市场变化迅速，消费者需求差异性加剧，软件研发安全要求更为严格，由于软件研发周期缩短，对企业提出了更高的开发安全建设要求。

解决方案

对于当前所面临的种种问题，通过构建开发安全体系，实现对自研的BI、MES等自研系统进行安全管控，赋能智能制造软件的安全落地。对智能化能源管控系统、自动化灌装、自动化包装、智能化质量管控系统、智能化立体库等软件进行安全左移建设。

使用效果

安全开发流程从制度、规范流程等多个方面建立
实现SDL 整体落地

项目方案

应用案例一某大型金融机构 icon

应用安全

核心痛点

·安全需求不充分:系统上线前的安全需求基线未能覆盖全面的风险。
·安全需求验证缺失:缺乏对安全需求的验证机制
·测试资源与质量短板:安全部门人力资源不足，测试用例或覆盖率不高，难以提供充足且高质量的安全测试保障。

解决方案

·深化安全需求评审:强化安全评审流程，确保每个阶段的安全需求被充分考虑和评估;
·自动扫描工具升级:部署高效的代码扫描工具并规范处理流程，实时反馈和跟踪漏洞修复情况;
·培训安全团队:增加加安全测试人力投入;
安全左移流程优化:优化工作流程，安全左移至开发人员，通过引入自动化工具、CI/CD流水线自动扫描等方式提高开发人员的配合度。

使用效果

·全行互联网应用系统100%执行SDL
·实现自动化安全要求的生成
·实现开发人员在开发阶段自测，提升工单一次通过率

项目方案