解决方案以十四五规划、等级保护2.0、个人信息安全规范、ICT供应链安全风险管理指南以及各行业应用安全要求为指导，使用国产化硬件搭载银河麒麟高级服务器操作系统V10，发挥操作系统安全、稳定、优势，结合默安科技自研的引擎和模型算法，从系统开发的需求、设计、开发、测试、上线等阶段入手，深度识别系统应用可能存在的各类安全风险，实现对设计、需求、代码、组件、API、功能等方面的安全管控，全面提升应用自身的安全性，配合定制化的安全运营服务，构建应用全生命周期的安全开发运营体系。

• 芯片架构：兆芯、海光、AMD64、飞腾、鲲鹏等

• 操作系统：银河麒麟高级服务器操作系统V10

• 基础软件：东方通国产中间件

• 应用软件：默安科技雳鉴STAC威胁建模分析系统V1.0、雳鉴SCA开源组件分析系统V1.0、雳鉴SAST源代码安全检测系统V2.0、雳鉴IAST交互式应用安全检测系统V2.0等

以银河麒麟高级服务器操作系统V10为支点，实现最优化的系统运行环境，结合默安科技全自研的系统软件，搭配相应的定制化安全服务，满足各行业开发安全建设的不同需求：

• 安全左移、风险前置

• 强强联合、自主安全

• 组件治理、开源管控

• 动静结合、全面检测

• 上线卡点、安全闭环

自研类业务全生命周期开发安全建设场景

在业务系统自主研发的场景中，主要包含需求管理、代码管理、打包、测试、交付等环节。开发安全建设围绕检测工具规则、开发安全流程设计、流水线集成等展开。解决方案可以完美契合开发的各个阶段，以自身开发现状和业务特点为基础，优先在上线前或功能测试等靠后阶段进行安全测试，同时辅以配套的制度规范，搭配相应的安全服务和项目试点协助进行开发安全落地。并通过定期回顾总结和优化分析不断的调整优化在保障对业务开发影响最低的前提下提升应用自身安全性，最终向DevSevOps方向演进。

外包类业务开发安全管控场景

针对外包类业务开发模式的单位，难以做到对整个开发流程的安全管理，需要做减法，避轻就重，解决方案主要在几个关键节点进行安全管控：

1、增加招投标、采购、交付环节的软件安全要求，上线前借助开发安全工具通过软件安全性检测；

2、提前考虑安全需求，基于威胁建模系统，将安全需求前置，可与开发商共同制定软件功能的安全需求、安全设计规范等；

3、将软件安全性纳入供应商评估标准，一方面可作为开发商的入围、选择的重要参考，一方面也可以约束软件开发商，督促其在保证软件功能正常实现的前提下，加强软件自身安全性。

智能制造-车联网应用安全检测场景

车联网应用的智能网连、OTA升级、自动驾驶等功能均依赖于车机与云端服务器进行数据交互，MQTT（消息队列遥测传输）协议作为基于客户端-服务器的消息发布/订阅传输协议，在车联网中被广泛应用，解决方案在交互式应用安全检测能力上融入MQTT协议，完成车机与云端之间的通讯检测，协助企业加强车联网应用安全建设。

某银行分布式DevSecOps集成案例

建设内容：打造基于银河麒麟操作系统的交互式应用安全检测系统，协助客户与其自研的pipeline流水线和BUG管理平台进行自动化对接。针对安全能力较弱的分支研发中心，则是采用流量采集的方式统一收集到总部进行检测分析。

案例价值：打通检测平台与管理平台的桥梁，减轻沟通成本和漏洞复测压力，最终协助客户全面推进自动化流水线，完成金融数字化转型发展。

某政企外包安全管控案例

建设内容：打造基于银河麒麟操作系统的交互式应用安全检测系统，协助客户梳理和建立开发安全检测流程与规范，重点关注几个核心业务系统的自身安全性，由客户方安全人员进行环境部署，交由外包开发商的研发人员进行检测和修复，而安全部门则主要针对中高危漏洞进行监管和复测，确保安全漏洞已闭环。

案例价值：围绕默安-麒麟IAST系统建立业务系统上线前开发安全检测流程，基于客户自身实际情况出发，化繁为简，将目光聚焦于各类注入、上传下载、个人隐私数据泄露等常见中高危漏洞，大大加强了对于业务系统自身的安全管控，弥补了在客户外包开发安全这一部分的空白。

某企业软件供应链安全治理案例

建设内容：打造基于银河麒麟操作系统的软件成分分析检测系统，对接客户方自研的CI/CD流水线平台。由于客户方还处于组件安全建设的起步阶段，为了避免影响研发的正常进度以及考虑到业务系统的敏感性，重点关注编码阶段，要求开发人员去感知组件安全风险，安全人员则负责进行漏洞的复测、监督和修复指导。

案例价值：以开发人员自查为主，安全人员监管结合制度规范约束，建立起了组件安全管控体系。基于客户自身情况出发，未对组件修复进行强制要求，采用比较温和的方式，在保证不影响业务系统的情况下，定期进行组件中高危风险的处置工作，响应国家软件供应链安全建设的号召，加强第三方组件的安全性和稳定性。