今天分享的是：朱继建：中泰证券开发安全体系规划及实践股市杠杆软件

报告共计：28页

在GOPS全球运维大会2023·上海站，朱继建分享了中泰证券开发安全体系的规划及实践。当前，网络安全形势严峻，CNNVD数据显示近5年漏洞数量持续增长且应用软件漏洞占比高，同时黑产工具肆虐，监管也愈发重视金融行业网络安全，出台多项政策推动证券公司提升安全水平 。在此背景下，中泰证券推进开发安全面临用户体验与安全性难平衡、快速交付与安全嵌入矛盾、开发安全工具选择多等挑战。为此，中泰证券构建了涵盖软件开发全流程的安全规划框架，包括需求与设计、开发、测试、上线等阶段，各阶段分别实施安全需求分析、威胁建模、静态安全测试、渗透测试等多种安全措施。在DevSecOps实践方面，通过多方面举措提升安全能力。在团队及合作上，获得上层支持，促进跨部门协作，针对不同角色开展培训；安全工具链涵盖多种工具，从需求设计阶段的威胁建模工具，到开发过程的静态代码扫描、软件成分分析，再到测试阶段的渗透测试、交互性安全测试等，全面保障安全；平台支撑整合了多种工具和技术，为开发、测试、部署等环节提供支持；合理设置安全质量门限，制定安全编码规范和黑灰名单，并将安全扫描测试集成到CI/CD流程；持续的安全运营包括安全告警监测分析、威胁情报监测、安全事件响应处置等，通过红蓝对抗攻防演练等方式不断提升安全能力 。通过这些努力，中泰证券的安全能力得到显著提升，通过了中国信通院的相关评估，实现了安全左移，减少了安全漏洞修复成本，提升了团队协作效率，形成了安全人人有责的意识，推动了安全开发过程的标准化 。

展开剩余75%

以下为报告节选内容

发布于：广东省

• 股市杠杆软件