一、项目背景及目标

在数字化转型的背景下，华润银行不断探索和利用各项互联网技术，发展和完善研发模式，努力打造为快速响应业务需求，向客户提供高效、稳定、安全服务的平台。以安全最大程度的左移为目的试行 DevSecOps 方案并持续优化改进，探寻 DevSecOps 最佳解决方案并在华润银行全面推行。

随着应用程序变得更加复杂，并且安全工具和职责跨越多个部门，获得应用程序整体安全状况的可见性变得更加困难。这使得评估、衡量、确定优先级和响应应用程序风险的工作变得更加复杂。开发、平台工程、云运营、安全团队和其他团队经常难以确定特定安全问题的优先级，这些问题应该更全面地解决，以最大限度地降低风险。应用程序开发的速度和方法给传统的应用程序安全工作带来了压力，给所有利益相关者带来了困惑和沮丧，并产生了无法有效管理风险的令人不满意的结果。所以需要建设一套开发安全运营平台，统一对多种安全测试工具链的扫描检测、安全漏洞缺陷和安全门禁等进行一体化综合管理，有效对安全风险缺陷进行跟踪和闭环修复，提高安全运营效率。

前期华润银行已经完成DevOps平台及研发安全检测技术工具链建设，需进一步贯通平台与安全检测工具链形成DevSecOps体系，通过将工具链嵌入到自动化流程中，支撑在开发环境、测试环境和预生产环境中执行自动化安全检测与研发安全门禁管控，驱动研发应用安全风险有效闭环修复。

二、创新点

通过建设开发安全管理平台（以下简称DSOP），综合接入SAST、SCA、IAST、DAST等工具链，将安全检测工具链融入在DevOps流程中形成自动化检测支撑能力，从而加强研发安全运营能力，驱动安全左移，降低上线后漏洞修复成本。

（1）工具链配置灵活，降低系统对接额外的定制化成本

通过参数配置方式对接SAST和SCA工具链，有效减少不同厂商和不同类型工具在对接集成中产生的额外定制化开发工作量和成本，增强应用系统从开发到上线各个环节的代码安全检测能力支撑，实现安全左移，为应用系统上线提供有效的安全保障。

（2）自动化提升，提升DevOps持续构建过程中的持续检测能力

将SAST、SCA工具链和策略链无缝对接集成到DevOps流水线中，实现自动化安全扫描检测，并在关键节点进行安全卡点，有效减少人工参与协作的工作量，有效促进各团队之间加强协作。

（3）运营化加强，漏洞缺陷分类治理，高效闭环重要风险

通过DSOP协助对检测结果和问题进行优先级排序和分类，有效加强漏洞缺陷闭环修复管理能力。基于安全门禁创建清晰的安全基线，使团队能够根据数据做出决策并全面提高安全性。全面了解开发和运营中的应用程序攻击面。结合自动化工具运行实践进行安全开发持续赋能，有效提升人员的安全开发意识和能力。

（4）漏洞率降低，驱动安全左移，有效降低系统漏洞修复成本

基于安全左移的思路实现DevSecOps。在软件研发阶段便同步介入安全检测，建立软件生命周期中的多个安全门禁卡点，将存量已知高危以上漏洞缺陷消除在版本发布前，有效降低漏洞缺陷修复成本。

三、项目技术方案

（1）方案思路

通过建设DSOP，一方面综合对接集成SAST、SCA、IAST、DAST等工具链，另一方面与DevOps平台流水线进行对接集成，实现在CI/CD流程中自动化执行扫描检测，并对工具链扫描检测结果进行“通过”管理，结合漏洞缺陷优先级设置安全门禁策略对检测结果进行安全门禁计算；在封版流水线中将安全门禁结果和检测结果移交进行综合质量门禁管理，从而统一提供安全风险管理和上线安全管控手段，增强研发安全运营能力。

（2）系统介绍

DSOP支持在整个软件安全开发过程中集成和利用应用安全检测工具链，生成与各个应用程序及其组成部分相关的风险视图；在整个软件开发、部署和操作生命周期中聚合、关联安全信息，根据安全门禁策略，与DevOps平台封板流水线进行安全卡点，以综合治理应用安全风险隐患，增强安全可见性、管理安全漏洞和控制安全活动执行。

（3）总体架构

系统业务架构设计图如下所示：

（4）功能架构

DSOP主要功能包括扫描平台管理、漏洞管控、资产管理、知识库管理、后台管理、配置管理和度量指标统计报表管理等功能，整体功能架构如下图所示：

（5）平台功能

随着安全需求的不断发展，安全左移至开发侧已经成为未来安全发展的必然方向，而自动化的工具链可以极大地提升整个安全开发的过程，并确保这些实施过程的安全性。本平台功能要点如下：

1）支持通过配置方式与研发流水线对接

支持与研发流水线对接，从研发流水线获取研发信息，并且可跟踪对应的安全状态，做到安全门禁管理，对不符合安全要求的版本自动阻断管理，同时拥有例外审批管理流程。

2）支持与黑盒、白盒、灰盒等安全检测工具对接

支持与黑盒、白盒、灰盒、漏洞检测（主机安全防护平台/漏洞扫描工具）、API安全检测等安全检测工具对接，并将相关工具的扫描结果纳入安全门禁管理，应用用于对研发流水线的安全管理。

软件安全成分分析SCA（Software Composition Analysis）是对软件的组成部分进行识别、分析和追踪的技术，主要是对第三方组件或开源代码的安全检查，包括来源、漏洞等。对于扫描发现的中高危级别漏洞的应用延迟发布直至漏洞被处理。

SAST（Static Application Security Testing）静态应用测试，对应的是研发阶段的代码扫描。SAST可以有两套不同的代码扫描引擎，一个是基于文本扫描的正则规则扫描，一个是基于构建的数据流、控制流扫描。正则扫描用于在DevOps的开发过程CI/CD（持续集成/持续提交）流程中的快速检测，可以用于应急响应中的全量代码扫描，比如一些代码配置或特殊函数的调用。同时，其缺点也很明显，对于一些需要理解代码上下文的漏洞误报率高，比如SQL注入。此时，使用正则扫描器发现后需经过安全人员的确认。基于数据流、控制流的代码扫描。在CI/CD的过程中，代码同步进行扫描，因为扫描时间太长。但相比正则扫描，这种扫描对于SQL注入、命令执行等漏洞的检测准确率比较高。

3）安全门禁提供颗粒度参数配置功能

安全门禁提供颗粒度参数配置功能，如根据风险等级（高中低）进行精细化的配置管理。

设置安全门禁，提升应用系统的安全上线通过门槛。可以基于源代码安全等检测工具进行安全卡点设置，建立起切实可行的安全质量门；可以在工具本身提供的全量检测规则的基础上，定制出适合于实际情况的要求集合。持续运营后确立安全质量卡点。在此基础上对一些特定的安全要求，可以在工具中增加定制一些规则，制定出具有特定场景的安全质量卡点。

在安全门禁运行过程中，需要持续开展攻击面统计分析，确定代码中最关键和最易受攻击的区域，确保在开发和测试期间关注这些攻击面。并不断地分析这些安全问题的解决办法，建立这些安全问题优先处理和缓解措施。在此基础上，不断提高安全卡点要求，不同提升应用系统的安全水平。

通过流水线进行安全卡点控制，开发人员通过门禁控制会意识到安全风险，明确解决方法。在安全测试卡点方面，需要对SAST、IAST和SCA等工具进行分别设置。在SAST工具方面，主要是通过结合缺陷出现频次、缺陷造成漏洞的危害程度等因素梳理出最重要源代码安全缺陷类型Top30清单，在SCA工具方面，通过公开漏洞的严重程度，许可证的许可范围、组件黑名单等因素条件，配置禁止或允许使用策略。在IAST工具方面，由于IAST与SAST的检测规则类似，通过结合缺陷出现频次、缺陷造成漏洞的危害程度等因素梳理出最重要源代码安全缺陷类型Top30清单；并对接研发协同持续集成平台向质量门禁功能模块输出安全门禁结果，作为上线质量门禁管理依据。

在SCA检测卡点策略建设方面，主要是通过公开漏洞的严重程度，许可证的许可范围、组件黑名单等因素条件，进行综合梳理分析，形成安全卡点策略。并根据策略计算结果对组件打上禁止或允许使用标识。对禁止使用的组件，确保能够提供有效的升级或替换修复方案。通过流水线构建编号关联SAST、IAST和SCA等检测结果，在上线评估环节，通过流水线编号查看其对应的SAST、IAST和SCA等检测结果和报告，根据检测结果结合卡点策略计算，智能评估安全检测结果是否能够通过卡点质量门禁，辅助安全团队进行上线安全评审。

4）支持漏洞的全生命周期管理

支持漏洞的全生命周期管理，包括漏洞录入、确认、修复、修复验证、关闭等环节，提供漏洞定级标准，并支持邮件工单、内部通讯工具的消息推送。

在应用软件生命周期的每一个阶段增加相应的安全活动（以测试阶段工具漏洞检测、人工渗透测试漏洞为主），发现各个阶段出现的安全问题，检测各个阶段出现的安全漏洞导入系统，进行安全漏洞的跟踪管理，形成安全漏洞的闭环处置和比对管理。

支持漏洞闭环处置，一个漏洞管理的周期通常是漏洞发现、漏洞确认（是否误报、定级）、漏洞分配（对应的开发修复）、修复审核（是否修复以及修复方案的健壮性）、漏洞关闭，来实现漏洞生命周期的闭环。支持指标数据展示，本平台有一套完整的指标体系，例如安全漏洞及时修复率、安全漏洞数量变化、安全门禁例外占比等，能够对研发中心的研发安全各项指标进行完整的展示，可以直观的观测研发中心安全状态。

对提交的项目代码、制品、组件进行安全检测和开源组件漏洞检测和安全分析管理。能够及时清晰掌握应用系统代码项目组件资产、许可证资产，许可证合规风险和安全漏洞风险，并有效应对应用系统开源组件相关风险，提高应用系统得合规有效性和安全可靠性，主要实现代码项目管理、检测任务管理、检测结果管理、系统配置管理、组件漏洞搜索与提醒等功能。

5）拥有知识库模块

拥有知识库模块，其中包含常见安全规范以及安全解决方案等内容，并且支持自定义内容。

构建威胁库。根据安全开发最佳实践，制定威胁库。威胁库的内容应包括：威胁名称，威胁类型，威胁等级，威胁描述，缓解措施等方面内容。威胁的危险等级进行可以进行适当评价调整。

融合国家等级保护2.0和国际标准ISO27001以及行业规范等法律法规、国内外标准规范要求，建立从需求、设计到开发、测试、运维阶段的全生命周期安全管理流程体系，在各个阶段引入最佳实践，梳理标准规范，例如：安全设计规范、安全编码规范、安全测试规范、安全部署规范等，帮助提升各阶段的安全管控能力。

6）支持资产管理

支持资产管理，可以手动以及与行内CMDB对接获取应用资产数据，用于漏洞、安全门禁、数据驾驶舱等功能的管理。

对应用系统进行分类、标识、关联管理，可从各个维度进行应用开发项目的查询和展示。

应用系统基本信息管理。所有系统信息如系统名称、用途、等级保护级别、测评情况、备案状态、主管部门、运行维护部门、维保单位、责任人、分类等信息的收集、录入和管理等。平台提供创建、修改、删除的功能对系统基本信息进行管理，并可以在页面上对所有的系统详细信息进行查看以及模板导出进行线下查看。应用系统基本信息管理也涉及应用系统基本信息的变更管理，如委外开发人员变更等。

7）支持用户权限管理

支持用户权限管理，本平台可对垂直与平行权限双维度进行管理，可根据具体的需求实现多种类别的权限隔离，并支持行内统一认证，具体包括：

具备权限分级管理体系，账户安全管理的范围包括：应用系统账户和基础架构账户（操作系统、数据库、源代码管理库账户等）；

基于角色为账户分配权限；

不同角色以及不同职能部门，仅能访问与其有关的功能和数据；

用户权限变更必须经过相关负责人批准。

8）考试设计与管理

支持在线设计题库、设置试卷以及参与考试。

银行应用系统多、业务复杂，在敏捷开发流程中，版本迭代频繁，风险暴露面大，合规要求严格，安全风险复杂且难以治理。在此情况下，使用安全扫描工具种类多，对于检测发现的各种各样的风险 ，不管是从安全和开发方面都面临着修复漏洞缺陷的巨大压力。

通过建设DSOP，一方面让安全和开发团队专注于治理重要和高危安全漏洞缺陷，解决多个安全检测工具使用的情况下安全漏洞风险分散，治理复杂的问题；另一方面能够在系统上线前有效消除安全漏洞风险，实现安全左移，大大降低应用系统上线后漏洞发现和修复成本，使用应用系统能够达到合规有效，安全可靠的效果。

四、项目过程管理

（1）项目人员分工

为了切实落实并且保证项目管理的有效性，本项目将根据项目需要，精选管理和技术人员组成安全实施服务项目组，根据项目特点，项目组分为项目经理、项目技术负责人、项目专家顾问、系统开发组，项目实施执行组、系统安装维护组和平台开发支持组，同时为了保证项目质量，成立实施质量控制组，共同参与项目管理。

项目投入人员如下：

（2）项目建设流程

（3）项目里程碑计划

五、运营情况

本项目建设研发安全管控平台，统一对多种安全测试工具链的扫描检测、安全漏洞缺陷和安全门禁等进行一体化综合管理，有效对安全风险缺陷进行跟踪和闭环修复，提高安全运营效率。通过建设研发安全管控平台，能够在人员协作、系统工具对接、自动化安全检测和安全漏洞风险治理等方面得到了大度效率提升和成本降低。

（1）人员协作

研发安全管控平台结合DevOps体系，打造了一套敏捷模式下的安全开发文化体系，有效降低开发团队和安全团队之间的矛盾对抗。通过持续构建过程中执行持续自动化安全测试，有效降低系统频繁迭代过程中人工协作成本。研发安全管控平台上线之前，平均每个系统上线前需要做一次初测和三次复测，每次安全测试都需要安全人员完成测试后人工输出报告给开发进行沟通确认。通过研发安全管控平台上线后，综合接入多种工具链进行自动化安全检测，将检测结果自动化实时同步给开发人员，安全人员只需要对开发提出的问题进行解答和漏洞缺陷优先级策略门禁维护即可，无需安全人员介入进行人工检测。研发安全管控平台上线后，相比上线前至少降低了50%以上的人员沟通协作成本。

（2）系统工具对接

研发安全管控平台打造了一个灵活配置的对接集成底座，对于不同厂商和不同的系统对接集成只需要进行接口参数配置即可，无需进行定制化二次开发，能够有效降低系统对接方面定制化开发成本（一般情况下平均每个系统对接集成定制化开发成本占项目总额度的10%左右）。

（3）自动化安全检测

通过研发安全管控平台能够讲SAST、SCA等安全扫描工具接入到CI流水线中进行自动化持续构建检测，并且将检测结果实时推送给开发人员，大大降低人员半自动化扫描检测的操作和沟通协作成本。特别是在DevOps敏捷开发模式下，华润银行系统数量超过200多个，每天构建发版量超过50次，通过人工对每个版本进行半自动化扫描检测难度极大，通过研发安全管控平台接入自动化扫描工具，安全检测效率提升了5倍以上。

（4）安全漏洞风险治理

从上线后测试和漏洞应急方面对比，通过安全左移到开发和测试阶段解决安全漏洞缺陷，运维阶段高危漏洞爆发率从研发安全管控平建设前后相比降低80%，在平台开始试运行初千行代码缺陷率7.83‰，通过半年的改进提升，2024年整体千行代码高中危漏洞率1.9‰，千行代码缺陷率5.32‰，漏洞修复时间大大降低，应用安全管控稳步提升。修补漏洞的成本会随时间推移而增加。在应用程序发布之前发现漏洞，可以降低漏洞修补的成本。及时发现漏洞并进行修补，可以降低维护和应用程序更新的成本。业界统计在系统运行阶段修复一个漏洞成本至少是在设计阶段的30倍。以事后修复漏洞需要增加1000元修复成本来测算，按千行代码缺陷率5‰，一年20个大型应用系统开发上线，平均每个系统5万行代码测算，1000*5‰*20*50000=500万元，可以避免500万元漏洞修复费用。

另外通过研发安全管控平台可以提高漏洞发现的速度和准确性，可以快速找出应用程序中存在的安全漏洞和缺陷。这些漏洞可能会导致用户数据泄露、应用程序崩溃等问题，会影响应用程序的可靠性和用户体验。提前修复漏洞避免应用系统带病上线，减少应用漏洞带来的重大安全风险和经济损失。

六、项目成效

（1）推动安全检测工具链统一接入

研发安全管控平台支持通过配置API参数方式统一接入SAST、SCA、IAST、DAST等多种工具链，并且能够保持与DevOps进行统一对接调用，一方面降低了DevOps流水线中多种工具链对接引入的频繁自定义对接变更的麻烦，并且能够融合多种安全检测工具链扫描进行统一风险分析和安全门禁计算，将安全门禁通过接口提供给DevOps平台在上线发布流程中进行安全评审和审批。通过流水线构建编号关联SAST、IAST和SCA等检测结果，封板流程中，通过流水线编号查看其对应的SAST、IAST和SCA等检测结果、报告和安全门禁，智能评估安全检测结果是否能够通过卡点安全门禁，辅助安全团队进行上线安全评审。

（2）实现应用安全风险统一治理

通过流水线构建编号关联SAST、IAST和SCA等检测结果，封板流程中，通过流水线编号查看其对应的SAST、IAST和SCA等检测结果、报告和安全门禁，智能评估安全检测结果是否能够通过卡点安全门禁，辅助安全团队进行上线安全评审。

（3）消除应用程序安全孤岛

评估和维护应用程序的安全性需要跨越组织不同部分的多种工具。开发和应用程序安全小组依靠各种测试工具（SAST/DAST/IAST）来识别代码中的潜在漏洞。运营团队监控正在运行的应用程序，寻找妥协、配置错误和其他问题的迹象。通过与不同工具集成并整合生成的数据，本平台提供了来自组织不同部分的安全相关信息的单一、整合视图，从而消除了各个孤岛。通过从不同工具的角度关联有关特定漏洞的数据，并对来自与特定应用程序相关的不同工具的数据进行分组，可以提供应用程序整体安全状况的全面视图。虽然各个小组可以维护与其角色和职责相关的数据视图，但也可以以对业务线经理和其他需要更广泛视角的人有意义的方式查看状态。

（4）无缝对接到DevOps平台

通过标准化接口，支持与市面上大多数DevOps平台在CI/CD流水线中进行对接，在流水线中自动调用扫描工具执行扫描检测。并根据研发安全管控平台安全门禁计算结果进行安全门禁卡点。实现安全扫描检测和管控完全自动化。

（5）有效落实应用系统安全责任

研发安全管控平台支持软件资产管理，通过资产与工具链发现的风险进行紧密关联，清晰定位安全风险所对应的资产和责任人，一方面能够自动推送风险给相应责任人，另一方面，能够有效跟踪漏洞缺陷闭环状态，从而有效落实应用系统安全责任。

（6）有效治理关键高危风险

一般来说，应用程序安全工具总是会产生大量有关潜在漏洞的数据。传统的、通常是手动的方法来评估和确定这些发现的优先级，无法扩展以适应数据量（随着新型测试的实施，数据量呈指数级增长，产生越来越多的发现）或与现代开发流程相关的速度。这种情况不可避免地会导致一些不利的结果，如果发现的数量太多，很容易因为数量过大导致处置时效降低，进而忽略部分无法解决的问题，最终可能会在安全性和组织平衡之间造成挑战；由于为不同的项目系统针对性的执行不同的安全策略在项目质量和效率上存在困难点，安全团队通常会在所有应用程序中实施一套标准的、“一刀切”的策略。然而，由于不同的应用程序很少会带来完全相同的风险级别，因此这种方法带来了各种挑战。由于本系统可根据特定应用程序及其敏感性或风险简化了各种策略的创建和执行，因此可以根据预定义和商定的策略自动对结果进行分类和优先排序，从而缓解这些挑战，从业者能够将精力集中在那些能够在总体风险降低方面提供最大回报的问题上。

七、项目总结

通过建设研发安全管控平，能够综合通过配置的方式接入各种各样的安全检测工具，并且统一对接到DevOps流程中进行自动化扫描检测，结合漏洞缺陷优先级设置安全门禁策略，一方面能够支撑在安全开发过程中实现高度自动化安全扫描检测，对检测发现安全风险进行统一安全管理。另一方面，可以让安全和开发团队能够有目的性治理重要和高风险安全漏洞缺陷，有效提高安全风险治理效率，降低安全风险治理成本。

通过项目近一年时间运行，新增应用系统单项目高危漏洞数由之前的1.6个/项目，减少为高危漏洞数1.04个/项目，高危漏洞出现率下降35%；千行代码缺陷率由之前的千分之7.83下降到千分之5.32，整体下降32% ；开发团队平均漏洞修复时长缩短66%。项目加速了华润应用安全管理和应用安全自动化检测技术深度融合，系统地提高了应用安全管理水平，增强了开发人员安全意识和技能，极大地提升了应用系统安全和质量，为金融应用系统安全、可靠、高效服务于民生保驾护航。

八、经验总结

在数字化转型的背景下，华润银行不断探索和利用各项互联网技术，发展和完善研发模式，努力打造为快速响应业务需求，向客户提供高效、稳定、安全服务的平台。以安全最大程度的左移为目的试行 DevSecOps 方案并持续优化改进，探寻 DevSecOps 最佳解决方案并在华润银行全面推行。相应成果可以在金融行业进行推广示范，为金融行业应用系统研发安全提高效能提供解决方案。