某银行作为国内知名的互联网银行,以构建“智慧型互联行”为总体战略目标,始终坚持科技赋能金融的理念。通过AI、大数据、云计算等数字技术与金融业务的探索融合,实现以更低的成本为客户提供便捷、高效和优质体验的互联网金融服务。
该银行在成立的短短几年间,完成了企业级IT架构升级,实现了令人瞩目的技术变革,为应对银行数字化业务中的效率、成本、稳定性及安全等问题提供了坚实的技术支撑。在IT架构升级的过程中,研发效率和研发安全性之间的矛盾,成为了影响数字金融业务发展的关键问题之一,以原有的工具和解决方案无法有效平衡这一矛盾:
传统测试覆盖不全,隐患重重。原有的安全测试通常基于已知的攻击模式和漏洞库进行检测,并且很多测试方法只面向单一的安全层面,如网络层、应用层等,而忽视了不同层面之间的交互和依赖关系,导致安全问题被遗漏,为银行数字金融业务埋下隐患。
代码检测效率低下,拖慢研发进度。传统静态代码检测,不仅效率低下,而且误报率较高。大量的误报会浪费开发人员的时间和精力去排查,严重影响了项目的交付速度,无法满足银行对研发体系的效率要求。
数据行为不透明,风险点难以定位。在原有测试过程中,被测软件系统内的数据流动和行为不透明,缺乏对数据行为的全面监控和分析能力,开发人员无法准确判断哪些数据是敏感的、哪些操作是危险的,从而无法及时修复这类问题,增加了数据泄露的风险,并可能导致严重的数据隐私合规性问题。
该银行在升级改造研发体系过程中,深刻认识到原有安全测试工具的局限性,决定采用开源网安灰盒安全测试工具VulHunter集成于研发流程,实现了安全测试的全面性和高效性。
全面覆盖与深入检测:开源网安VulHunter采用交互式检测方式,能够在被测软件运行时分析应用程序的行为,并检测潜在的安全威胁。此方式结合动态和静态测试的优点,有效提高了安全测试覆盖度,可深度检测出难以发现的逻辑缺陷和异常行为。
精准定位与及时高效:开源网安VulHunter通过与研发流程的紧密结合,能够在代码提交、构建或测试执行时检测识别安全漏洞,并精确定位到具体的代码行,确保了安全问题能够在早期得到处理,从而降低了修复成本,大幅度提升研发效率。
自动化与持续检测:开源网安VulHunter的自动化特性可无缝集成于银行研发流程中,包括持续集成/持续部署(CI/CD)管道,确保了安全测试成为了“无需人工干预”的必要环节,实现持续的安全检测并自动生成检测报告,大大提高了整体项目周期。
开源网安灰盒安全测试平台VulHunter为该互联网银行提供了深度的软件安全检测能力,帮助银行在研发阶段提前识别和解决潜在的安全问题,从而降低了漏洞引发的安全风险。并且,VulHunter的提供的自动化持续检测能力,确保了银行的软件系统在持续迭代和更新过程中,始终保持高效和安全,为银行实现研发效率和安全性的“双效提升”,保障了银行金融业务的高质量发展。
未来,开源网安将持续深耕金融行业数字化场景下研发安全的解决方案,通过技术的创新和应用,致力于提升研发体系的安全能力,为金融行业客户提供更加全面、高效的安全保障。助力金融行业客户构建坚实可靠的安全防线,确保金融业务安全和业务稳定,推动金融科技创新发展。
推荐阅读