张帅

“软件正在吞噬整个世界。”

随着信息化和数据化程度的加深以及企业之间的竞争加剧，这个经典论断正在兑现。软件成为现代企业商业成功的核心所在，新的挑战同时浮现——软件敏捷开发模式下，传统安全保障方案受限颇多，如何兼顾效率与安全？

基于敏捷开发场景下的安全管理解決方案成为企业的首选。

安恒信息安全管理平台具备自动化多工具上线安全检测的能力，既避免了完全依赖于人工水平出现难以管控的情况，又能充分发挥专业安全人员的价值，保障了系统在开发阶段的安全性。

上海某金融企业业务开发上线较为频繁，存在上线前安全测试压力大、整改修复周期短、开发人员对漏洞风险的修复缺乏专业认识等问题，遂决定采用基于敏捷开发场景下的安全管理解决方案。

基于安恒信息安全管理解决方案，该项目上线后，在需求阶段通过轻量化的威胁建模分析平台形成了针对业务功能的安全要求、设计要求以及相对应的测试要求，并将这些要求结合到软件需求说明书、软件测试用例清单中，用于指导相关人员研发安全的软件。

同时其还引入了包括源代码检测、Web及APP应用安全检测、第三方组件检测等各类黑盒与白盒的安全检测工具，可自动对研发过程中的相关产物进行安全验证，对于工具无法检测的安全要求则由人工测试完成闭环。

《计算机世界》记者了解到，安恒信息后续将从三个维度将对安全管理平台功能进行升级：

其一是提供安全管理平台的可接入性和可扩展性，在安全检测阶段增加对插件化的支持，便于插件化对接自动化扫描工具，以应对各类灵活开发的项目，增强平台对各类主流工具的兼容性，提高个性化需求及自动化检测能力;

其二是进一步深化威胁建模能力，增加安全需求设计、安全性要求对接功能，以保证项目初期的安全需求及设计符合安全性要求，减少后期开发成本;

其三是进一步深入研发日常工作，与一些通用的集成开发环境例如IDEA联动，提供安全的开发环境及第三方组件，以方便研发人员使用等。