军工行业
军工行业DevSecOps体系建设实践
业务需求
某军工研究院是我国航空领域重要的科研机构,隶属于航空工业体系,主要聚焦于航空电子、计算机技术、软件工程等领域的研究与应用,为我国航空装备的研发提供关键技术支撑。 随着数字化转型的推进,该所的软件开发规模不断扩大,涉及的操作系统、应用软件日益复杂,对软件的安全性、可靠性和开发效率提出了更高要求,亟需构建一套完善的DevSecOps体系,以应对软件开发过程中的安全风险和效率瓶颈。 在引入X操作系统持续集成与运维管理平台之前,该所面临诸多痛点。软件开发过程中,安全工具分散,各工具结果格式不一,漏洞信息重复且误报多,人工处理耗时,严重影响开发进度。 资源管理方面,嵌入式设备众多且分散,传统人工管理方式效率低下,易因频繁接触导致设备损坏,不同地点人员共享设备困难。 软件安全性难以保障,缺乏全面的安全检测手段,在代码开发、测试等阶段难以及时发现漏洞,且持续集成与交付过程中安全管控不足,存在安全隐患等。
解决方案
技术架构
主要能力
工具集成封装技术
工具集成封装系统(夫子ASPM数字供应链安全态势感知平台)实现了各类安全工具的无缝集成与封装,支持HTTP/HTTPS、Socket、JavaAPI等接口的工具对接,解决了不同工具结果不一致、格式不统一等问题,提供统一的视图和报告,简化漏洞管理流程。
嵌入式资源纳管技术
采用B/S架构(前端采用VUE框架),实现对嵌入式资源的远程控制和集中管理,支持多种接口和体系架构的开发板、数字样机等设备的接入与管理,通过虚拟分组、角色管理等功能实现资源的高效利用和安全管控。
代码安全审查技术
具备源码级成分分析、二进制成分分析、运行时成分分析等技术,可识别开源组件及其依赖关系,检测漏洞和许可证风险,提供漏洞修复优先级建议,支持多种开发语言和包管理器。
代码漏洞扫描技术
采用静态代码分析技术,支持多种编码规则扫描和自定义编码扫描规则,基于主流漏洞库进行源代码安全漏洞分析和代码质量分析,支持漏洞库的定期离线更新。
渗透测试技术
包含启发式主动漏洞验证技术、智能攻防演练技术、纵深嗅探扫描技术、智适应渗透技术、自动化扫描技术等,模拟黑客攻击手段,验证系统的安全防御能力。
成果效益
该解决方案为用户带来了显著价值。在安全方面,全面提升了软件的安全性,通过多种安全检测工具的集成应用,及时发现并修复漏洞,降低安全事故发生的概率,漏洞检出率提升了60%,漏洞修复效率提高了30%。
在效率方面,实现了安全工具的一体化管理和嵌入式资源的高效共享,减少了工具切换和资源调配的时间成本,软件开发周期缩短了70%,团队协作效率提升了50%。
在管理方面,提供了全面的项目管理和质量保障机制,实时掌握项目进度和质量状况,提高了项目管理水平,为航空装备软件开发提供了坚实的安全保障和效率支撑,助力该所在航空领域的技术创新和项目交付。
该所认为采用了悬镜安全源鉴SCA、灵脉AI、夫子ASOC、灵脉PTE等敏捷安全工具链,工具链之间协同高效,既精准识别开源风险,又深入检测漏洞缺陷,同时优化安全流程,大大助力了科研开发安全升级。