海云安全DevSecOps开发安全解决方案是结合客户实际情况制定的DevSecOps统一规划和实施标准，从建立应用安全开发平台补齐安全开发检测工具链、安全检测工具链与DevOps流水线集成、安全卡点设置、规范开发安全流程、人员赋能等多维度帮助企业构建完善的DevSecOps体系。经过近一年的实践，已经初步建立涵盖需求、研发、投产、生产运营全生命周期的研发安全运营一体化体系，实现了安全需求研发周期较实施前缩短40%，按时发版率提升90%，线上业务安全问题数量降低60% 以上，有效提高了安全研发供给能力，支撑业务高质量发展。

应用场景：

海云安通过DevSecOps项目建帮助客户建立了一套集安全开发管控平台、安全检测工具、安全开发知识库于一体的DevSecOps体系，主要应用场景：

1、构建对应用系统开发过程的安全漏洞进行全面检测的能力

通过开源组件漏洞扫描、源代码审计、灰盒测试、安全运维管理等安全工具构建全面的开发安全检测能力。全面性体现在三个方面，一是代码安全层面、二是组件安全层面、三是业务安全层面，可帮助企业全面发现各类安全问题，极大的提高系统的安全质量。

2、形成DevSecOps管理体系

全流程、零门槛实现研发能力的安全赋能及升级，通过开发安全知识库、威胁建模、白盒测试、灰盒测试到运营全流程的嵌入式解决方案，在不增加用户教育成本、改变工作流程的前提下，实现系统开发全流程的安全能力导入。

3、安全赋能开发人员

通过建立起一套从开发到运营的安全开发与测试管理流程，使安全成为整个IT团队（包括开发、运维及安全团队）每个人的责任，将安全能力赋予不懂安全的项目成员，共同解决项目安全风险。

海云安的安全开发管控平台支持金融行业相关规范对标管理，对标标准包括（JR/T 0092—2019-移动金融客户端应用软件安全管理规范、JR/T 0068-2020-网上银行系统信息安全通用规范。

DevSecOps优势;

一、打造了覆盖研发全链条的研发安全框架，并创新性的将隐私合规要求融入DevSecOps需求阶段中。

二、白盒工具中集成了国内首创的滑齿引擎技术，可根据不同的研发场景动态调整检测标准及策略，既能满足传统的瀑布式开发模式，也能适应DevSecOps下的快速、准确、低误报等要求，有力的支撑了DevSecOps体系中对代码安全的管控要求。

三、将应用安全进一步“左移”到开发环境：IDE插件规范开发编码、规范开发环境，及时代码漏洞提示，从代码开发的源头就建立规范，约束相关安全属性，从而确保应用系统的生产最初就遵守安全要素，减少人为疏忽、不安全函数的引入。

四、项目采用自研专利技术“基于签名的源代码版本与制品版本一致性安全管控方法”对源代码版本与制品一致性进行安全校验，确保上线制品完整性、不可抵赖性，从而构建应用系统可信交付、发布。

五、三大信创安全检测技术实现代码风险质量管控：采用面向多语言多对象的自主智安全基技术、多维AST（抽象语法树）融合检测技术、行业代码安全管控场景自适应等技术管控应用系统的安全需求、安全设计、数据安全于合规要求，为数字化转型保驾护航。

应用案例;

深圳某商业银行

客户概况

在深圳某商业银行原有的开发模式下，DevOps安全团队和持续交付团队独立运行，信息交互频繁且效率低导致质量难以保证，安全问题整改的计划外工作量大，成为DevOps安全工作常见的痛点。

海云安DevSecOps解决方案:通过帮助企业建设一个集安全合规基线、安全开发指引、IDE插件、开源组件漏洞扫描、源代码审计、灰盒测试、安全运维管理、知识库等多个功能模块的开发安全管理平台，并将白盒、灰盒和开源组件检测等安全检测工具链与DevOps流水线集成，配置好安全卡点，实现自动化的源代码、组件和系统等多个层级的安全检测，帮助企业将安全检测前置到开发和构建阶段，从而实现更低成本和更高效率的解决安全问题，全面保障系统安全，协助开发团队按时完成新版本发布工作。