2019年年初，拼多多APP出現(xiàn)重大BUG，用戶可以在沒有任何限制的情況下無限領(lǐng)取100元無門檻優(yōu)惠券。據(jù)不完全統(tǒng)計(jì)，一晚上的時(shí)間直接造成拼多多損失的優(yōu)惠券面額達(dá)200多億。根據(jù)拼多多官方報(bào)道，此次事件是黑灰產(chǎn)團(tuán)伙通過一個(gè)過期優(yōu)惠券的漏洞，盜取了平臺優(yōu)惠券數(shù)千萬元。

2018年年底，上海警方成功搗毀一個(gè)利用網(wǎng)上銀行漏洞非法獲利的犯罪團(tuán)伙，該團(tuán)伙成員發(fā)現(xiàn)并利用某銀行APP軟件中的質(zhì)押貸款業(yè)務(wù)安全漏洞，使用非法手段累計(jì)非法獲利2800余萬元。

2018年11月，臺灣地區(qū)金管會銀行局副局長王立群表示，美國花旗銀行辦理信用卡業(yè)務(wù)的預(yù)繳卡費(fèi)交易系統(tǒng)漏洞，此前遭到客戶利用，刷卡消費(fèi)達(dá)6300余萬元新臺幣（約合人民幣1345萬元）。

在快節(jié)奏的軟件開發(fā)與應(yīng)用漏洞頻繁的環(huán)境下，解決軟件漏洞問題是軟件開發(fā)團(tuán)隊(duì)不得不面臨的一個(gè)艱巨任務(wù)。

自2004年起，SDLC就成為Microsoft全公司的計(jì)劃和強(qiáng)制施行政策。安全開發(fā)生命周期（SDLC）即Security Development Life Cycle，是一個(gè)幫助開發(fā)人員構(gòu)建更安全軟件、滿足安全合規(guī)要求的同時(shí)降低開發(fā)成本的軟件開發(fā)過程。其核心理念就是將安全考慮集成在軟件開發(fā)的每一個(gè)階段:需求分析、設(shè)計(jì)、編碼、測試和維護(hù)。從需求、設(shè)計(jì)到發(fā)布產(chǎn)品的每一個(gè)階段都增加了相應(yīng)的安全活動與規(guī)范，以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。安全開發(fā)生命周期 (SDLC)是側(cè)重于軟件開發(fā)的安全保證過程，旨在開發(fā)出安全的軟件應(yīng)用。

Microsoft 安全開發(fā)生命周期 – 簡化（中文版）

當(dāng)前的軟件系統(tǒng)開發(fā)過程通常包括編碼、單元測試、集成測試、處理Bug等步驟。隨著系統(tǒng)復(fù)雜度的增加，模塊之間的依賴關(guān)系越來越復(fù)雜，很多Bug要到項(xiàng)目集成時(shí)才能發(fā)現(xiàn)，而且距離開發(fā)階段越久，Bug修復(fù)成本就越高。

隨著DevOps的出現(xiàn)，軟件開發(fā)和部署過程變得更快，迭代更加頻繁。為了在不犧牲速度和生產(chǎn)力的情況下有效降低風(fēng)險(xiǎn)，企業(yè)需要將安全性融入到DevOps流程和工具鏈。這一點(diǎn)比以往更加重要。懸鏡安全提供SDLC全開發(fā)流程DevSecOps自適應(yīng)威脅管理體系解決方案。

在項(xiàng)目研發(fā)階段，懸鏡提供以懸鏡靈脈AI滲透測試平臺為核心的安全開發(fā)解決方案。懸鏡靈脈采用Gartner十大信息安全技術(shù)之一的IAST（交互式應(yīng)用安全測試）灰盒測試技術(shù)方案，其AI啟發(fā)式網(wǎng)站掃描引擎可協(xié)助研發(fā)工程師、測試工程師、項(xiàng)目經(jīng)理等非安全人員完成系統(tǒng)的漏洞測試。懸鏡靈脈不僅可以解決傳統(tǒng)黑盒掃描方式中爬蟲功能的局限性，還能夠?qū)I滲透測試無感地內(nèi)化于SDL流程之中，大大減少了企業(yè)安全測試人員的人力成本。

*IAST交互式安全測試工具是全新一代“灰盒”代碼審計(jì)、安全測試和第三方軟件檢測產(chǎn)品，是近年來興起的一項(xiàng)新技術(shù)，被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一。融合了SAST和DAST技術(shù)的優(yōu)點(diǎn)，無需源碼，支持對字節(jié)碼的檢測。IAST極大的提高了安全測試的效率和準(zhǔn)確率，良好地適用于敏捷開發(fā)與DevOps，可以在軟件的開發(fā)和測試階段無縫集成現(xiàn)有開發(fā)流程，讓開發(fā)人員和測試人員在執(zhí)行功能測試的同時(shí)，無感知地完成安全測試。

針對項(xiàng)目運(yùn)營階段，懸鏡安全推出以懸鏡云衛(wèi)士為核心的主機(jī)安全防御方案。懸鏡云衛(wèi)士基于ASA自適應(yīng)安全架構(gòu)，從企業(yè)安全管理視角精準(zhǔn)梳理IT資產(chǎn)，動態(tài)量化安全風(fēng)險(xiǎn)，提前做好塔防式安全防御體系，并基于攻擊鏈多錨點(diǎn)檢測技術(shù)實(shí)現(xiàn)黑客入侵的實(shí)時(shí)監(jiān)測和響應(yīng)，第一時(shí)間預(yù)警客戶并提供安全技術(shù)支持，及時(shí)規(guī)避漏洞風(fēng)險(xiǎn)。

關(guān)于SDLC開發(fā)過程中基于DevSecOps理念的解決方案是什么問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識。