数字经济快速发展时代,我国银行业一直走在数字化转型的最前线。某大型国有商业银行作为国家经济的重要支柱,在数字科技上连续多年投入超百亿,打造自己的数字银行品牌,在数字技术、数字资产、数字生态、数字基建、数字基因等五大维度布局,进一步高质量提升用户体验、业务效率和经营价值。
效率质量双重压力
研发体系产生新的安全问题
在数字化不断升级的过程中,该国有商业银行的研发体系产生了一些矛盾:“在追求高效研发和高质量服务的同时,如何确保软件的安全性和稳定性”。在该银行的智慧信息系统转型工程实践中,高效研发的过程管控要求,让之前的矛盾激发出了新的安全问题:
1. 测试覆盖度低,遗漏大量安全隐患。在测试阶段,以DAST、渗透测试为主的安全测试方法,测试覆盖度较低,被测应用中遗漏了大量安全隐患。
2. 低效代码检测,严重影响交付速度。传统安全检测产品以静态安全测试工具为主,其检测效率和误报率高,使提交的代码长时间停滞在安全检测环节,导致需求交付速度降低,无法满足追求高效研发体系的要求。
3. 看不到数据行为,无法定位风险点。测试阶段无法全面监测应用内部数据行为,出现异常时无法快速定位问题代码段,导致代码漏洞未及时修复,数据泄露风险的增加,造成数据隐私合规问题。
开源网安Vulhunter纳入CI/CD
精准长效守护研发过程安全
该国有商业银行在研发体系中搭建可自由装配的“黄金管道”安全流水线,将开源网安灰盒安全测试平台Vulhunter纳入CI/CD中,适应快速构建及交付要求,提升安全检测能力。开源网安灰盒安全测试平台Vulhunter帮助该银行实现了:
1. 更全面持久的安全测试。Vulhunter能够持续地对该银行数字业务进行安全测试,以代理服务的形式集成于测试环境,持续全面地监控应用内部的函数调用、控制流等信息,挖掘更深层的安全隐患。
2. 更高效精准的代码分析。Vulhunter可自动化分析应用和API代码,通过污点跟踪技术可以快速准地定位到潜在安全漏洞所在的代码段,从源头上解决代码安隐患,让代码检测效率大幅度提升,使安全检测流程畅通无阻。
3. 更严格细致的合规检测。Vulhunter能够持续实时监控分析被测应用的数据行为,快速发现异常行为,能够定位到引发异常的代码段,解决可能导致的数据泄露风险。
开源网安灰盒安全测试平台为该大型国有商业银行提供了深度的应用安全检测能力和实时安全监控能力,帮助其提前发现并解决研发安全问题,大大降低了应用漏洞带来的风险,实现了“安全左移”的目标,保证了金融数字业务的连续性和安全性,增强了客户对银行的信任,进一步加强了其在市场上的竞争地位。
未来,开源网安将不断完善金融行业数字化场景下研发安全的解决方案,提升研发体系的安全能力,助力金融行业客户持续发展科技创新,为用户提供更安全、更便捷的金融数字服务。
