一、服务介绍

什么是软件全生命周期安全管控平台？

软件全生命周期安全管控平台是基于微软经典SDL模式，结合开源网安十年应用安全治理经验，完全自研的一体化安全开发管控平台。通过轻量级威胁建模+安全工具编排与调度+可视化安全控制门，帮助企业实现从立项、需求、设计、编码、测试、部署等阶段的开发安全活动的全流程管控。辅以专业的安全咨询服务，助力企业SDL落地，从源头把控软件上线前的安全质量。

二、方案优势

1、丰富的行业安全知识库落地经验

通过大量的S-SDLC实践经验，积累了不同行业的安全知识库，帮助企业搭建安全治理底层能力。

2、轻量级的威胁建模工具

软件全生命周期安全管控平台以业务场景问卷取代传统业务数据流图和风险树等威胁建模方式。研发人员无需安全专业能力，只需通过简单情景式问卷，即可生成相应的安全任务。

3、真正的“安全左移”实践

通过软件全生命周期安全管控平台，企业在项目的立项及需求分析阶段，就开始了安全活动的融入，从源头降低安全风险。

三、产品功能

1、基于情景式问卷的威胁建模

研发团队通过简单的情景式问卷，就能轻松获取需要在设计、研发、测试各阶段进行的安全任务，并支持相应状态管理。

2、统一漏洞闭环管理

软件全生命周期安全管控平台支持对不同检测工具（SAST、SCA、IAST等）发现的安全风险/漏洞进行统一标准的闭环跟踪管理，并支持以工单的形式推送到至企业成员。

3、多维度的安全知识库

软件全生命周期安全管控平台包含安全基础库、合规库、场景库、行业库等多维知识库。

四、产品价值

1. 安全风险治理早，降低修复成本

通过自动化的安全扫描，可以提前发现安全风险/漏洞，及时进行修复；在项目需求阶段就建立相应的安全活动控制门，提前明确设计、研发、测试阶段应关注的安全问题，从源头降低安全风险。

2. 安全与研发职能明确，优化内部协作流程

通过平台，安全人员专注于安全风险管控与安全知识库的运营，研发人员侧重于安全活动的实践与安全风险的修复，彼此之间以自动化数据流的形式，实现跨职能高效协作。

五、业务场景

1. 打造高效的安全与研发跨职能协作的软件开发流程

软件全生命周期安全管控平台可以帮助企业明确安全团队与研发团队的职能范围，运用自动化的方式进行CI/CD、安全活动调度、安全风险管理等方面的工作，进一步优化企业内部跨职能协作流程。

2. 保障信息系统的安全性和合规性

可以使用软件全生命周期安全管控平台来进行代码审计、漏洞扫描、合规评估等操作，以确保其信息系统满足国家相关法律法规的要求，同时保护企业信息系统的安全。