比瓴科技正式加入上海金融科技產(chǎn)業(yè)聯(lián)盟-創(chuàng)新監(jiān)管聯(lián)合實驗室（以下簡稱：實驗室），愿攜手實驗室共同促進滬金融科技創(chuàng)新發(fā)展。

上海金融科技產(chǎn)業(yè)聯(lián)盟（以下簡稱“聯(lián)盟”）是由上海國際集團倡議發(fā)起，人行上?？偛?、銀保監(jiān)上海監(jiān)管局、證監(jiān)會上海監(jiān)管局、市金融局、市國資委、市經(jīng)信委、市科委8家監(jiān)管機構(gòu)和政府部門出任聯(lián)盟指導單位，成立的上海金融科技領(lǐng)域第一個市級產(chǎn)業(yè)聯(lián)盟。

實驗室是聯(lián)盟設(shè)立的跨界金融科技創(chuàng)新合作平臺，致力于為金融要素市場、金融機構(gòu)、科技企業(yè)提供協(xié)同創(chuàng)新機制，發(fā)現(xiàn)、培育、儲備一批創(chuàng)新型科技企業(yè)和創(chuàng)新項目，為上海金融科技創(chuàng)新監(jiān)管試點提供支撐，推動前沿技術(shù)與金融場景深度融合，打造面向市場的金融科技生態(tài)圈。

上海比瓴作為華東地區(qū)的營銷服務(wù)中心，具備成熟的技術(shù)咨詢服務(wù)能力，可面向銀行、證券、基金、保險等金融行業(yè)提供集安全產(chǎn)品與安全服務(wù)于一體的平臺化解決方案，幫助企業(yè)建立高效敏捷的開發(fā)安全管理體系。

某城市商業(yè)銀行SDL體系建設(shè)案例

項目背景

某城市商業(yè)銀行于2021年推動SDL體系建設(shè)，在體系落地過程中，發(fā)現(xiàn)存在以下問題：

1）缺乏對軟件設(shè)計人員標準化規(guī)范化的指引和約束，導致軟件設(shè)計頻頻出現(xiàn)安全缺陷；

2）同類型漏洞反復出現(xiàn)，漏洞數(shù)量仍然居高不下，修復成本未見明顯下降；

3）應(yīng)用安全測試工具與開發(fā)流程未能有效整合，安全測試覆蓋面相對不足；

4）安全開發(fā)全流程安全管控能力不足，安全活動質(zhì)量門禁僅依靠上線前的滲透測試和線下評審會議。為解決以上問題，開展本項目建設(shè)。

建設(shè)內(nèi)容

比瓴科技在深入了解該銀行的開發(fā)安全現(xiàn)狀與業(yè)務(wù)需求后，制定了SDL安全開發(fā)計劃提升路線圖，建立以安全活動集中管控、研發(fā)安全能力賦能、統(tǒng)一線上評審的SDL落地解決方案。基于我公司自研產(chǎn)品應(yīng)用安全平臺，實現(xiàn)可持續(xù)的開發(fā)安全能力提升和有效安全左移。

安全需求設(shè)計智能化：基于應(yīng)用安全平臺，構(gòu)建安全開發(fā)知識庫，通過場景化需求問卷實現(xiàn)應(yīng)用風險評級、變更范圍分級和安全需求分析能力。需求問卷按業(yè)務(wù)場景關(guān)聯(lián)安全需求、安全設(shè)計、合規(guī)要求和風險管理需求等安全基線，實現(xiàn)智能化的威脅建模和開發(fā)工作流程分級管控。

安全測試工具自動化：通過應(yīng)用安全平臺，整合行內(nèi)SCA、SAST、IAST等安全測試工具。由平臺統(tǒng)一管理檢測任務(wù)，根據(jù)不同場景需求，靈活調(diào)度各類安全工具執(zhí)行特定劇本，實現(xiàn)自動化的檢測能力，并對檢測數(shù)據(jù)進行統(tǒng)一管理。

安全開發(fā)全流程一體化：通過應(yīng)用安全平臺，將安全需求分析、安全開發(fā)實施、安全測試驗證、上線發(fā)布管理任務(wù)活動，以安全開發(fā)工作流的方式，整體對接融入客戶內(nèi)部的應(yīng)用開發(fā)全流程平臺，打通項目應(yīng)用的需求信息、應(yīng)用信息、人員部門信息，實現(xiàn)了在不改變現(xiàn)有研發(fā)流程的情況下，完成全流程安全活動的集中管控。

項目價值

項目建設(shè)完成后，經(jīng)過試點推廣發(fā)現(xiàn)，可有效解決該行之前在各軟件開發(fā)中心推廣SDL遇到的難點問題，實現(xiàn)了全行安全開發(fā)能力的提升。主要表現(xiàn)為：

1）識別的安全需求數(shù)量上升，設(shè)計階段安全缺陷明顯減少；

2）安全測試工具使用率提升，安全測試覆蓋面顯著擴大；

3）應(yīng)用上線后安全漏洞數(shù)量明顯下降。

比瓴科技將遵循上海金融科技產(chǎn)業(yè)聯(lián)盟互利、合作的理念，以“開放交流、前沿展示、合作共贏、生態(tài)創(chuàng)新”為宗旨，為聯(lián)盟打造金融科技中心提供技術(shù)支撐。

比瓴科技專注于軟件供應(yīng)鏈安全領(lǐng)域，以AI和數(shù)據(jù)為核心提供覆蓋全場景的軟件供應(yīng)鏈安全產(chǎn)品和安全咨詢服務(wù)。打通應(yīng)用安全數(shù)據(jù)孤島，實現(xiàn)安全運營過程自動化，增強應(yīng)用軟件資產(chǎn)風險可視性，為軟件安全保駕護航。