为加强银行保险机构供应链安全管理,防范风险,确保系统安全稳定运行,2021年,银保监会发布了《关于供应链安全风险提示的函》,基本内容包括:提高供应链安全风险防范意识,加强对于供应链的安全统筹管理,充分评估第三方供应商的安全能力,提升系统自主研发能力,加强对供应商厂商的监督检查。结合文件内容,金融业做好软件供应链安全需要从管理维度和技术维度进行落实。
(1)管理维度:设计度量方法和持续提高机制,持续提高人员安全意识和技能水平,持续降低安全风险。
(2)技术维度:对各类软件开发环境进行风险控制,严格控制输入到软件开发环境的内容以及从软件开发环境输出的内容,有效避免供应链的攻击;设计和实现安全开发流程,以达到研发安全的软件的目的,使得软件安全质量有明显的提升。
通过安全开发一体化平台的建设,实现“安全左移”,及时响应并解决漏洞通过人工+工具、测试任务复测、漏洞去重,达到降低误报的效果,提高安全质量,避免应用带病上线。
安全开发一体化平台DevSecOps的核心理念就是将软件安全集成在软件开发的每一个阶段,而不仅仅是在上线发布阶段做一次安全检测,从根本上解决软件漏洞产生、无法收敛和难以修复的问题。
-
-
合规性
开发安全体系建设,严格按照国家、行业颁布安全合规政策落地实施,帮助企业达成合规性。
-
-
标准化、自动化
搭建安全开发一体化平台,采用人工+工具的方式,与企业现有流程完美融合,达成流程自动化,做到安全工作有据可依。
-
-
提高质量、降低成本
开发安全体系建设和运行,大大提高系统的安全性,降低漏洞的修复成本,减少了研发、测试、安全人员沟通成本,进而提高了工作效率。
-
-
培养安全意识、提高安全技能
构建安全知识库,培养安全共识,以安全能力为基石,并进行常态化的开发安全培训,提升开发人员的整体安全意识和安全技能。