DevSecOps建设标杆丨民生证券携手悬镜安全，共建敏捷安全开发体系

民生证券股份有限公司成立于1986年，注册资本113.84亿元，是新中国成立最早的证券公司之一。公司在北京、上海、深圳、广州、郑州等地设立了80余家分支机构，业务范围覆盖全国近30个省、直辖市及自治区，为客户提供全方位、多层次的优质、规范、高效投融资工具和专业化、个性化的金融服务。

近年来，云计算、AI人工智能、大数据等信息技术的不断发展、各行各业的信息电子化的步伐不断加快、信息化的水平不断提高，网络安全的风险不断累积，金融证券行业面临着越来越多的威胁挑战。民生证券作为业内领先的综合金融服务提供商，一直高度重视信息安全工作。特别是近年以来，开源生态的不断完善与发展，越来越多的企业引入了开源。

对于金融证券行业而言，开源生态共建与安全威胁也呈现了“共生共存”的状态。同时，民生证券正在进行数字化转型能力建设，众多业务都在从传统开发到敏捷式开发转变，迭代速度的加快与发版周期的缩短带来了一系列安全问题，民生证券并未止步于此，而是积极应对挑战，展现了卓越的业务安全建设的战略前瞻性和产业领导力。

悬镜源鉴SCA开源威胁管控平台：新一代开源数字供应链安全审查与治理平台，深度融合悬镜首创的代码疫苗技术，是国内首款集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎的多模SCA开源治理平台，快速扫描数字应用和容器镜像中存在的各类开源风险，并提供实时精准的数字供应链安全情报预警能力。

悬镜灵脉IAST灰盒安全测试平台：代码疫苗内核驱动的新一代交互式应用安全测试平台，透明集成于现有IT流程，自动化完成业务代码上线前安全测试，重点覆盖90%以上中高危漏洞，防止应用带病上线，保障数字供应链开发环节的安全运行。

悬镜夫子ASOC敏捷安全赋能平台：DevSecOps/SDL 全流程智适应安全开发赋能平台，让企业可以通过一个中央平台发现和管理整个DevSecOps中的所有敏捷安全工具和原生应用数据，解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点，实时监测应用程序的安全事件和漏洞。

IAST（交互式应用安全测试）工具与测试流程结合，通过插桩方式在完成应用功能测试的同时即可完成安全漏洞检测。检测通过夫子ASOC平台与蓝鲸DevOps平台集成，确保在上线之前有效管控应用的安全性，确保外包项目及内部自研项目均按照标准化的安全管控流程进行安全治理。

这些工具不仅仅是简单地集成到平台中，更是深度融合到用户的流程和体系内。通过深度融合实现安全工具与业务流程的无缝衔接，确保每个环节都能得到有效的安全保障，从而全面提升系统的整体安全性。

根据不同的软件特性从编码阶段、测试阶段、部署阶段、运维阶段的安全结果同步到对应的负责人员，将流程化管控流转，软件发布时严格把控业务系统上线运营的最后一环，为项目的应用软件提供自动化应用安全风险检测服务，结SCA、IAST等工具对资产全面分析安全现状，实现安全质量管控及全流程审批追溯能力。

同步运营的角度建设个性化的阶段任务工作流，覆盖应用漏洞、开源漏洞、知识产权风险等多维度的安全评估，全面覆盖线上运营环境涉及到的业务安全场景，将专家安全能力持续赋能给传统IT项目人员，使安全思想注入安全全生命周期，动态跟踪威胁的处理流程，从需求提出、威胁发现到安全需求验证，实现全流程闭环管理帮助企业流程化、自动化、制度化的保障业务安全。

通过SCA、IAST工具可以有效地结合到软件各生命周期阶段，促进应用安全防护“左移”落地，将代码疫苗技术注入到应用内部，可以清晰地看到内存中解析后的流量，感知业务运行过程的上下文，具体定位其中的漏洞和威胁并积极的防御阻断攻击。

从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助民生证券逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的积极防御体系，降低安全管控成本。

性能与稳定性：在满足信创要求的同时，保证系统的稳定运行和高效处理能力，包括在统一并发场景下的性能检测和记录，确保在高负载情况下也能保持服务的连续性和可用性；

持续监测与响应：采用IAST、SCA等现代安全测试技术，实时监测应用程序安全风险，及时发现并响应安全漏洞，特别是在软件开发和运维的全生命周期中融入安全考量。

① 通过私服制品仓库的建立、数字供应链防火墙与门禁规则配合，严格控制第三方和开源组件的来源；

② 研发人员需要安装SCA与SAST工具提供的IDEA、VisualStatio等IDE插件，在编码过程中经常使用插件进行代码质量扫描，此时的修复成本是最低的；

③ 针对代码仓库提供发版触发SCA与SAST工具进行扫描，通过质量门禁进行发版质量管控与阻断。同时针对代码仓库进行定时全量回扫，严格保障代码仓库的清洁；

④ 测试阶段通过引入IAST工具实现安全测试左移，在测试人员进行功能测试、性能测试的同时完成低侵入自动化渗透测试。由于IAST可以精确定位到漏洞的具体位置到代码行和相关参数，并且提供相应的修改建议和代码示例，可以帮助研发人员更早期发现安全漏洞，更低成本地解决安全漏洞，降低因安全问题导致返工的概率；

⑤ 建立安全编码规范和安全测试标准：建立编码规范、对安全人员进行安全培训、引用相对安全的开发框架。建立统一的测试标准(测试项),尽可能覆盖各种类型的安全漏洞；

⑥ 通过ASOC进行总体调度，将开发安全、漏洞管理、开源组件安全、供应链安全进行统一管理，实现漏洞数据的统一分析及整体关联全程治理.

通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，可以增强软件供应链的安全可控能力。

通过构建详细的软件物料清单，帮助企业或团队梳理并透明化软件资产，对漏洞风险、许可证风险进行管控治理，提高供应链安全性，防止软件供应链攻击等安全风险。对软件供应链生命周期中引入、生产、应用的各类资产进行统一的汇总管理，包括企业内部自研的软件及外部采购的软件，从更细维度划分，包括应用、软件、组件、文件、代码片段等资产的管理。

其价值如下：

① 资产管理：查看组件、许可资产；从组件出发，溯源被哪些服务在线上使用；构建资产图谱，可根据应用包，文件等维度检索；

② 漏洞管理：从漏洞出发，订阅最新情报，溯源哪些组件被影响；从应用维度出发，查看应用制品SBOM的漏洞信息；

③ 安全事件：追踪漏洞修复状态，如未修复，已修复；按照时间维度统计漏洞的产生，修复变化趋势能够订阅漏洞情报，对运行的应用告警；

④ 应急处置：在开源与第三方组件，以及成品软件系统爆发0day漏洞时，通过SBOM体系完整供应链资产信息，第一时间定位公司是否受到漏洞影响，并定位到服务器、项目组、负责人层级，快速应急处置；

⑤ 其他拓展能力：SBOM多风险维度组合过滤；SBOM生成工具提供给供应商；SBOM差异比较等。

依托悬镜数字供应链安全情报预警平台能力，建立开源风险情报响应机制，应用漏洞事件预警、供应链投毒事件、开源许可纠纷事件等开源组件风险情报，实时预警企业行业内安全事件，提前响应及防护。

单独的漏洞信息实际很难被应用，只有围绕漏洞所能导致的真实风险来提供漏洞情报，才是抵御漏洞威胁的突破口。悬镜数字供应链安全情报预警平台聚合全面的多维度漏洞信息，通过漏洞复现、标签标定、补丁验证、POC/Exp测试等一系列流程，形成精准可靠的漏洞情报，实时赋能在相关产品上。

其核心能力如下：

① AI智能情报分析：基于AI安全大数据云端分析能力，实时对全球数字供应链安全漏洞、投毒情报进行动态检测，并交叉验证风险，使用专业的情报发布标准，确保漏洞情报快速可靠；

② SBOM资产测绘：结合SBOM资产数据，精准识别资产风险，及时分发预警；

③ 漏洞优先级排序：使用VPT漏洞优先级评估模型及专家团队运营理念，对漏洞实际可产生的危害重新定级，更加符合国内安全环境的定级标准，构建科学的漏洞生产运营体系，并提供完善的修复建议和补丁信息，提升漏洞运营处置效率。

通过夫子ASOC敏捷安全赋能平台+源鉴SCA开源威胁管控平台+灵脉IAST灰盒安全测试平台的全面化建设，结合安全左移的理念，将安全融入到软件生命周期的研发阶段，从根源上介入安全管控。

针对自研项目和外包项目，在软件生命周期的不同阶段引入SCA（软件成分分析）和IAST（交互式应用安全测试）等安全检测工具，实现自动化安全风险分析、质量管控及漏洞信息的分发流程管控。

SCA工具能够有效识别第三方组件中的已知漏洞，IAST则能在测试阶段精准定位应用内部的安全缺陷，显著提升漏洞检测效率。

通过优化工作流程，提升系统应用安全的管理效率和运营能力，降低漏洞修复所带来的成本，最终落地基于DevSecOps体系的应用安全开发管控平台，保障民生证券数字应用安全风险的高效治理。

通过民生证券DevSecOps开发安全一体化管控平台建设，构建全面的安全开发流程，实现对研发人员及安全管理人员提供安全管理依据。

软件投产时严格把控业务系统上线运营的最后一环，为项目的应用软件提供自动化应用安全风险检测服务，结合SCA、IAS工具对资产全面分析安全现状，实现安全质量管控及全流程审批追溯能力。

同步运营的角度建设个性化的阶段任务工作流，覆盖应用漏洞、开源漏洞、知识产权风险等多维度的安全评估，全面覆盖线上运营环境涉及到的业务安全场景，将专家安全能力持续赋能给传统IT项目人员，使安全思想注入软件全生命周期，形成统一的安全风险处理流程，从需求提出、风险发现到安全需求验证，实现全流程闭环管理帮助企业流程化、自动化、制度化的保障业务安全。

建立完善丰富的安全工具链体系，持续赋能研发测试人员安全测试能力，提前发现安全风险，提升漏洞检出率及覆盖面，集合全生命周期的漏洞管理流程，建立了安全持续运营过程。

针对现有的瀑布及Devops模式投产评审项中加入“交互式安全测试”项进行有效的安全管理约束，针对DveOps模式在开发项目中实现工具的统一调用、漏洞汇集、自动触发、自动复查，质量管控规则流程控制等，实现在测试阶段自动发现应用相关的应用漏洞风险，落地安全左移理念尽早的发现漏洞及处理漏洞逐步减少漏洞的产生。

同时为安全管理人员、研发人员、测试人员等提供更丰富的漏洞修复参考安全需求等信息，提高整体安全管控水平及漏洞修复的积极性、必要性，有效地降低安全漏洞数量。

在软件开发测试阶段无缝嵌入安全测试，在运营环境嵌入内生安全防御能力，不仅仅可实现理想的DevSecOps安全开发全流程，收敛安全工作，也可以在一定程度上覆盖部分人工渗透难以测试覆盖的业务点，高效实现应用上线前的安全审查，防止应用带病上线及安全运营。从而实现了外部安全左移+内生，降低安全修复成本，源头解决应用内部风险。

通过整体安全开发运营体系建立，实现安全全流程管理，将安全流程固化至民鉴"信创应用安全管理平台，实现全流程安全自动化管控的同时，引入相关工具链，赋能开发流程中的每一环节，在开发流程中嵌入安全能力，实现研发运营安全一体化，将安全前置左移，降低漏洞修复成本和提高修复效率，降本增效，最终形成一套适合民生证券自身的安全开发运营的流程体系。

民生证券在数字化转型过程中，深度采用了悬镜安全提供的DevSecOps工具，包括灵脉IAST、源鉴SCA及夫子ASOC等，以增强软件开发过程中的安全性。灵脉IAST以其高效的动态应用安全测试能力，帮助我们在开发阶段及时发现并修复潜在安全漏洞，提高代码质量。

源鉴SCA在金融行业的开源治理中展现了其应用实践，通过存量和增量检测，覆盖代码仓库、制品仓库、运行时应用，检测企业当前存量组件或软件的已知风险，提升了开源组件的检测结果。

夫子ASOC作为安全运维的核心，整合了多种工具和服务，通过实时监控与自动化响应机制，确保系统安全稳定运行。这些工具不仅提升了我们的安全性，也优化了开发流程，极大减少了安全团队的工作负担。悬镜安全的产品和服务为我们的数字化进程带来了显著的价值，我们非常期待长期合作。