西南某民营银行,是中西部早期获批开业的民营银行之一,始终坚持“科技立行”理念,不断加大金融科技创新投入,全力推动金融科技赋能,提升金融服务质效,相继推出了针对小微企业信贷、农户信贷、数字支付等多款特色数字金融业务。
传统检测工具能力不足
DevOps流水线待升级
在多年的数字化建设中,该银行已经构建比较完善的DevOps流⽔线,通过自动化工具和流程,帮助银行加快应用交付的速度。随着金融体系对数字业务安全要求越来越高,银行DevOps流水线面临一些安全能力问题:
1. 漏洞的误报漏报,应用易“带病上线”。原有DevOps流水线中,虽然使用传统应用安全检测工具,但其规则集有限且无法充分理解复杂逻辑与代码上下文信息,导致检测出现漏洞误报或漏报的情况,使得应用容易“带病上线”。
2. 检测速度慢,严重影响研发效率。基于SAST安全检测工具,对源代码进行扫描分析,虽然检测覆盖度高,但从检测到反馈再到问题修复,需要消耗大量时间,严重影响研发效率。
3. 集成难度大,无法真正实现敏捷交付。原有的SAST工具应用于代码编写阶段,DAST工具应用于安全测试阶段,但限于两者的工作原理,在自动化流程上无法适应高效敏捷的交付要求,使得产品研发周期延长。
VulHunter深入集成DevOps流水线
研发体系提质增效
该银行使用开源网安灰盒安全测试平台(VulHunter)与DevOps流水线进行深度集成,推动应用安全检测效率提高,使DevOps流水线既有安全能力的提升,又满足敏捷交付的要求。
1. 高精确高覆盖,漏洞“一网打尽”。开源网安灰盒安全测试平台可自动检测运行时的应用中真实漏洞,并且根据在应用的执行效果上进行扫描检测,借助实时片段的上下文分析,避免了因缺乏上下文信息而产生漏洞误报和漏报的现象。
2. 检测速度快,结果实时反馈。开源网安灰盒安全测试平台在运行应用的过程中持续进行安全测试,同时可进行检测实时反馈,让研发人员及早发现并修复问题。
3. 易与DevOps集成,实现敏捷交付。开源网安灰盒安全测试平台可以无缝地集成到DevOps流水线中,根据配置可在应用构建过程中自动进行安全检测,提升了开发效率,保证了DevOps流水线的连续性。
该银行通过VulHunter在应用开发阶段的早期发现安全问题,减少潜在的安全风险,在应用部署到生产环境之前进行快速修复,并且超高的自动化程度可深度集成适配DevOps流水线,提升了安全检测的效率,缩短了应用研发周期,大幅提升了银行的研发质效,从而进一步推动其数字金融业务的高质量发展。
近年来,该银行在经营管理和业务发展中,积极打造企业级数字化平台,不断探索金融科技的赋能创新。同样,开源网安也将持续为金融客户提供研发安全解决方案,助力金融客户在“数字化+智能化”道路上更高效、更安全地创新发展。
