看一个开发安全实践落地经验

原文选自：安全村SecUN

原文链接：https://mp.weixin.qq.com/s/joCWYzEholKAPpof8H0W6A

很少看见这么详实高价值的开发安全赋能实践，原文有很多图片解析，更精彩！

摘要：随着攻击手段的复杂化和法律合规要求趋严，安全左移已经成为行业共识，可以显著降低修复成本及提高产品安全性。伴随软件开发模式的敏捷化转变和DevOps的流行，DevSecOps相应出现，但机构在落地过程中，普遍面临诸多困难，如安全人员不足、缺少威胁分析工具和安全需求库等，严重影响了应用系统的安全保障效果。本文将介绍开发安全赋能平台的实践探索，以平台为载体整合和重构安全专家多年积累的领域知识、经验、技术、工具和流程，将安全赋能到软件开发的各个阶段，伴随研发流程进行安全风险同步管理，通过自助化、流程化、自动化的平台赋能，减轻机构从事DevSecOps的困难，提高安全效能，快速交付合法、合规，且满足较高安全保障水平的软件产品。

关键词：开发安全赋能平台、DevSecOps、轻量级威胁建模、安全测试编排与关联、数据安全评估内嵌、开发安全度量指标