STAC威胁建模分析系统咨询服务-
国内某大型券商
客户情况:
该客户成立于1999年,是中国证券行业长期、持续、全面领先的综合金融服务商。作为证券行业的核心企业,极具行业特性,产品体量十分庞大,
该客户一直以来对我司产品十分信赖,双方有密切的业务合作。与客户深度交流后,我们了解到客户的项目团队缺少安全人员,安全需求完全依靠
各个核心团队成员的研发经验、测试经验得出。不同项目组之间没有统一的安全需求标准,也无法互通沉淀知识库。
规划思路:
准备阶段:
1.完成项目规划和启动
2.完成项目采购相关工作
3.完成双方需求明确
部署调研阶段:
1.完成STAC部署
2.安全管理访谈、开发安全访谈、安全工具访谈
培训&文件编写:
1.SDL开发安全培训(安全意识,安全需求等)
2.开发安全管理制度建设、开发安全规范建设、开发安全管理细则建设
项目试点:
1.投行簿记
2.电子商务网站
3.移动中台项目试点
验收阶段:
1.通过上线验收,完成相关的验收文档并交付
2.完成项目结项报告,总结会
产品效果:
通过专家服务+产品的方式,搭建覆盖全业务场景的知识库,统一安全需求、安全设计标准,实现了安全需求的标准化、 自动化 输出;
安全从需求分析阶段开始介入,提早发现并解决安全漏洞问题,防止业务系统带病上线带来损失。对于发现的漏洞或缺陷,记入知识库进行沉淀;
完善了开发安全相关标准、管理制度、规范等,通过工具使用、开发安全技术等培训提升了项目经理、研发、测试的安全意识和安全能力。
