百家讲坛 | 林永峰：开发安全在证券行业的探索实践 - 新鲜讯息

主写人：林永峰

编写团队：魏永东、陈双杰、徐佳正

林永峰，2010年毕业于清华大学物理系，博士。林永峰博士先后在腾讯、百度、国信证券从事大数据平台架构、算法挖掘、用户研究、智能投顾等工作，具有丰富的大型互联网及金融从业经验，在山西证券建立行业领先的大数据智能中心和数据中台，领导实施数据治理、机构知识图谱、RPA、全面风控等多个金融科技创新项目，推进山西证券的数字化建设。

摘要：随着金融科技的高速发展，证券行业正加速推动数字化转型，同时也面临日益严峻的安全风险和合规挑战。尤其是在开发过程中，建立健全的安全开发流程与防护机制变得尤为重要，如何确保安全性成为行业的关注焦点。

本文将探讨证券行业在开发安全领域的前沿实践，按照“两法一条例”要求（《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《国务院关键信息基础设施保护条例》），明确网络安全责任，落实网络安全以“同步规划、同步建设、同步使用”为指导思想的“三同”要求，建设DevSecOps技术工具、管理平台和运营体系，实现网络安全左移，强化对网信项目建设及信息系统开发的全过程安全管理，增强应用系统实战对抗能力和软件供应链自主可控能力，防范化解应用系统信息安全重大风险，切实提升网络安全保障水平，保障业务的稳健运行，为行业未来的发展奠定坚实基础。

关键词：证券行业、开发安全、数字化转型、金融科技、合规管理、DevSecOps

1. 引言

在金融科技浪潮下，证券行业的业务创新和数字化发展正以前所未有的速度进行。然而，随之而来的安全挑战也不容忽视。

2023年6月19日，有头部券商因机房基础设施建设安全性不足而遭遇网络安全事件；某券商在2023年3月进行数据查询接口升级时，由于升级前侵犯测试不充分，未发现接口性能问题，导致交易及相关系统的安全稳定运行受到影响，且未及时向监管部门报告此事件。此外，还有另一头部券商在2020年因外包服务失误，导致数万客户的个人信息被上传至公网并暴露。

频发的开发安全事件凸显了证券行业在预警措施上的不足，证券行业急需强化网络安全防护措施，保障客户信息和交易系统的安全稳定。开发安全已经成为证券行业保持业务持续健康发展的重要保障。

2. 证券行业安全概况

2.1 网络安全政策背景

当前，数字经济已经成为我国经济发展的新动能，企业转型升级已经成为经济增长的重要引擎。近年来习近平总书记关于建设网络强国数字中国作出了系列重要指示，要求大力推动中央企业加快数字化转型。国务院发布的《“十四五”数字经济发展规划》提出，大力推进产业数字化转型，加快企业数字化转型升级，全面深化重点产业数字化转型。

《中华人民共和国网络安全法》作为我国网络安全领域的基础性法律，充分体现了信息化发展与网络安全并重的安全科学发展观。

《中华人民共和国网络安全法》明确提出建设关键信息基础设施的三同步原则。以“同步规划、同步建设、同步使用”为指导思想，本着“谁主管、谁负责”工作原则落实执行，在系统生命周期各阶段明确责任管理部门及安全管理职责，在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。实现从代码管控的维度保障网络安全的“合规性”和“有效性”，明确安全管控的底线、红线。这为应用安全开发工作提供了管理上的必要性和可行性基础。

同时“等级保护2.0”明确指出，应用服务符合相关国家标准的强制性要求，不得设置恶意程序并且需要对恶意代码进行严格检测；《金融资产管理公司监管办法》第一百三十三条，持续开展信息科技风险计量和监测。第一百四十二条，定期开展信息安全检查和评估；《银行业金融机构信息科技外包风险监管指引》第三十八条（三），对重要或核心的信息系统开发交付物进行源代码检查和安全扫描。

图1：网络安全相关政策与标准

2.2 证券行业的开发安全现状

云计算、大数据、人工智能等技术的飞速发展和应用，助力各行业数字化转型的深化，推动数字中国建设进程的加快。在这一过程中，数字化业务快速迭代等需求已经在企业业务决策中不可或缺，并促使企业的研发模式向敏捷及DevOps模式转型，然而相关的网络安全管理却没能跟上业务发展的步伐。

在DevOps开发模式下，目前安全仍独立于整个流程之外，给软件带来新的安全问题。安全措施游离于DevOps流程，使得应用软件存在代码编写不规范，引用不安全函数和不安组件，在生产环境应用系统发布缺乏管控，未经过安全检测和审批的模块被随意发布到生产环境等安全风险。

传统的漏洞扫描、人工渗透等费时费力的安全测试，如果遇到业务紧急的情况，安全不得不为业务让步，使得软件极有可能带“病”上线。软件上线后一旦发现安全问题，修复成本“高昂”。

3. 开发安全的前沿探索与实践

3.1 敏捷开发+DevSecOps

由于传统的安全措施已无法适应敏捷开发的节奏，也无法有效应对新环境下的网络安全威胁和合法合规需求，此时，DevSecOps作为一套基于DevOps体系的全新敏捷安全实践框架应运而生，打通了原先开发、运营和安全的壁垒，在保证研发效能的同时，将安全贯穿数字化应用全生命周期的每个环节。

其中，DevSecOps敏捷安全工具链落地实践是实现DevSecOps的关键核心之一，是在DevOps基础上实现安全敏捷化和持续自动化的前提条件，让安全、敏捷的价值交付成为可能。

为提升DevSecOps工具链整体实践效率，并为后续更多敏捷安全工具的引入创造轻量化环境。通过智能单探针插桩实现一体化、一站式工具链落地，最大限度减少在应用侧反复安装安全探针的动作，降低了对开发团队的影响，同时从开发源头侧规避安全风险，建立应用风险的闭环管理流程，并为应用搭建更加有效的共生积极防御体系。

技术应用案例如图2所示:

图2:技术应用案例图

为了应对日益复杂的安全挑战，证券公司通过引入DevSecOps、安全自动化测试、开发环境安全隔离等措施，显著提升了开发过程中的安全性。

3.2 开发安全检测工具链

在DevSecOps敏捷安全工具链建设中，SAST（Static Application Security Testing，静态应用安全测试）、SCA（Software Composition Analysis，软件组成分析）和IAST（Interactive Application Security Testing，交互式应用安全测试）三项关键技术的结合至关重要。

将这三种安全测试方法与CI/CD（Continuous Integration/Continuous Deployment，持续集成/持续部署）流程相结合，以构建高效敏捷的安全工具链：

(1) SAST集成：在开发阶段，通过将SAST工具集成到IDE（Integrated Development Environment，集成开发环境）或CI/CD流水线中，实现对源代码的自动静态分析，查找潜在的安全弱点和漏洞，如SQL注入、跨站脚本攻击等，并即时反馈给开发者，使其能在编码阶段就修复问题。

(2) SCA集成：在构建或集成阶段，通过SCA工具扫描项目依赖的开源组件和第三方库，收集软件物料清单（SBOM），识别其版本、许可证以及潜在的安全漏洞。每当项目依赖发生变化或进行构建时，SCA工具会在CI/CD流程中自动运行，确保使用的开源组件是安全且符合许可协议的。

(3) IAST集成：在测试阶段，将IAST工具嵌入到应用运行环境中，通过动态分析的方式，在真实负载下检测应用程序的安全问题。IAST在应用运行时监控代码执行路径和数据流，能更准确地发现运行时安全漏洞，其结果可以实时反馈到CICD流程中，便于快速响应和修复，同时在生产环境，可将IAST探针切换成RASP模式，RASP提供了一种创新的安全解决方案，通过在应用程序运行时动态介入，能够针对组件级别的安全风险提供热补丁功能。

通过上述结合，SAST、SCA和IAST能够在整个CICD流程的不同阶段提供安全防护，将安全测试无缝融入软件开发生命周期，从而实现DevSecOps理念中的“安全左移”，提升软件安全水平，降低上线风险。

下图为AST&SAST集成流程、SCA集成流程：

图3：AST&SAST集成流程

图4：SCA集成流程

3.3 工具链与DevOps平台集成对接

开发安全检测工具需要与DevOps平台集成，安全左移形成DevSecOps。集成对接通过API调用等方式进行，目的将安全能力快速融入敏捷开发流程，为应用系统开发过程提供安全检测技术支撑，尽早发现安全问题，促进安全漏洞尽快修复，努力避免应用系统带病上线。

DevSecOps强调安全是每个人的责任，柔性嵌入研发运维流程，自动化流程，人更趋向于运营反馈处理适用于周期较短，迭代较快的业务。

如图5所示：在开发环节植入安全检测，通过将开发安全检测工具嵌入流水线完成高效自动化的安全检测。

图5：开发安全检测工具嵌入开发流程示意图

3.4 AI大模型赋能SAST

大模型是指具有大规模参数和复杂计算结构的机器学习模型。这些模型通常由深度神经网络构建而成，拥有数十亿甚至数千亿个参数。

大模型的设计目的是为了提高模型的表达能力和预测性能，能够处理更加复杂的任务和数据，具有更强大的泛化能力。同时专业化大模型具有高安全性、专用化和高性能的特征。大幅度提升管理效能，有助于实现数智化转型，解决现有通用大模型面临的安全性、性能限制。

大模型赋能SAST的优势如下：

(1) 降低误报率

大型模型通过综合运用数据处理、特征提取、上下文分析和逻辑推理等技术手段，实现对漏洞的精准识别和深入解读。这一过程有效解决了传统工具在识别漏洞时常出现的误报问题，从而降低了审计成本，提高了工作效率。

(2) 漏洞解读与修复代码生成

大型模型能够全面理解漏洞性能，并生成修复的修复代码。这种能力不仅降低了对开发人员技能的依赖，还提升了漏洞修复的效率，帮助企业更快速地响应安全威胁。

(3) 代码缺陷分析

大模型通过深度语义理解、并行处理能力、智能化特征提取、自适应学习与优化、资源优化利用以及定制化解决方案等创新方式，实现了对代码缺陷分析的高效赋能。

大型模型的引入为软件应用安全测试（SAST）带来了必然的变革，极大提升了漏洞识别和修复的效率。通过降低误报率、深入理解漏洞特性以及自动生成修复代码，大型模型不仅增强了开发团队的安全能力，也推动了整个行业向更加自动化、自动化的方向发展。

在信息安全威胁日益复杂的背景下，企业积极采用这一新兴技术，构建更加安全的开发环境，应对未来的挑战。这些创新方式使得大模型在应用安全中成为重要的赋能功能工具。

4. 案例分析：山西证券的开发安全创新实践

山西证券通过引入DevSecOps，将安全嵌入开发的全生命周期，形成了从代码撰写、构建到部署的全面安全闭环。这一实践不仅提升了公司的开发安全水平，还使其能够更好地应对不断变化的市场需求与监管挑战。

4.1 提高漏洞运营效率，安全不再成为上线卡点

IAST、SCA、SAST通过集成CI/CD平台，实现安全检测-风险应用卡版-风险分发-风险回归全流程自动化的高效处置，仅需一人兼职负责处理漏洞运营流程，大大降低了应用安全部门的人力成本；且敏捷安全工具链整体占用流水线发版时长不超过10分钟，安全测试不再成为DevOps流水线上的痛点。

4.2 精准检出漏洞，大幅减少应用安全风险

推广过程中，IAST检出的漏洞数1500个，初期误报率低于8%，后期经过漏洞运营、工具优化后误报率降低至1%左右；SCA检出组件漏洞266个，当前未发现组件漏洞误报情况；SAST检出应用缺陷3042个，误报率低于20%。接入CI/CD作为质量红线的工具精准率高，可以直接将结果推送研发修复，降低传统安全测试模式下漏洞确认、修复、验证的沟通成本。

4.3 无感防护，不影响业务正常运行

IAST自动拦截脏数据写入数据库，避免了对功能测试结果造成影响；检测过程中对被测业务服务器CPU的影响＜5%，且在应用服务器性能正常时进行测试，性能异常时自动避免对其进行测试，全程无感知地完成安全测试，不影响业务正常运行；SCA、SAST作为动态扫描工具引入敏捷安全工具链，代码收集以及检测均不影响业务本身。

4.4 上线即安全，极大降低应用安全修复成本

IAST在测试阶段实时监控五个项目插桩节点的运行时的行为，提供准确的运行时安全漏洞检测，解决了过往应用上线后才发现漏洞、修复成本高、波及范围广等痛点，避免业务应用“带病上线”；SCA在POC环境完成针对四个应用的常态化组件风险分析，及时发现开源组件中的已知安全漏洞，并通过集成CI/CD流水线确保业务发版即安全；SAST在POC环境已完成针对三个项目的静态缺陷分析，为应用风险测试提供全面覆盖的缺陷清单作为风险修复参考。

5. 展望与未来挑战

随着金融科技的进一步发展，证券行业的开发安全将面临更加复杂的挑战。未来，AI技术、量子计算等前沿技术将进一步应用于开发安全领域，提高安全问题的预测能力和防护水平。同时，证券公司还需要不断完善安全管理体系，加强跨部门协作，确保安全与合规的同步推进。只有在技术和管理上保持持续创新，证券行业才能够在复杂的市场环境中保持竞争优势，并为数字化转型提供更坚实的安全保障。

6. 结语

开发安全是证券行业持续发展的基石。在数字化和智能化的时代背景下，证券公司必须在开发安全上保持前瞻性和敏捷性。通过实践先进的安全技术和管理手段，证券公司不仅能够提高开发效率，还能在合规性和安全性上取得平衡。

未来，开发安全将继续为证券行业的创新与稳健发展提供强有力的支持，为行业的可持续发展保驾护航。

往期推荐