基于敏捷开发场景下的安全管理解决方案

申报企业：上交所技术有限责任公司

2020年CIO智選金融行业应用奖

本方案以安全开发生命周期为依据建设相关管理规范，包括安全需求、开发规范等管理制度，通过代码审计、渗透测试等白盒、黑盒的安全检测手段，提高开发系统的安全基线，降低在上线后发现漏洞的整改成本。同时，建设安全管理平台，实现自动化多工具上线安全检测的能力，减少人工干预，同时保障系统在开发阶段的安全性。最终，通过安全管理平台将交付文档可视化，便于信息的展示和查询。

获奖理由

本方案建立了一套符合实际情况的安全管理规范，通过目标系统规范实践，明确安全需求库以及安全测试规范和安全测试指引等规范文档;

本方案通过事前的安全检测和事后的应急响应工作，有效提升了业务系统的安全基线;

本方案基于安全需求库及各阶段输出的安全漏洞和安全报告，建立了一套安全管理平台，可进行相关信息的查询与展示;

本方案基于现有环境开发部署一套安全开发运维平台，以安全开发规范体系中的安全标准为输入，整合多种安全工具输出一份综合报表，实现了安全检测自动化与制度落地。