開發安全管理平臺

開發安全管理平臺通過用戶進行情景式的問答，從用戶角度對業務系統典型場景功能進行梳理，對全部流程進行詳細安全分析，進行風險識別與安全管控措施分析，為用戶生成標準安全需求文檔、安全設計文檔與對應安全測試用例，為設計、開發及測試人員提供指導。

開發安全管理平臺自動化安全需求分析功能，開發人員通過情景式問答，自動實現場景功能梳理與重要流程的詳細安全分析，自動生成標準的安全需求文檔、安全設計建議文檔與對應安全測試用例。

威脅資源庫

威脅資源庫覆蓋15個分類，500信息條，包含攻擊執行順序、執行攻擊的前提條件、嚴重性、被利用可能性、實例、攻擊者需要的知識和技能、探測技術、解決緩解方案等。

合規資源庫

覆蓋國家法律法規的相應文件，以及有關機構的要求文件等。檢索方便、簡捷，按照業務分類展開。業務覆蓋100以上子類。

場景庫

開發安全管理平臺以場景為核心，包括Web應用場景、客戶端場景、網絡與通信場景、基礎功能場景、業務場景五大類100多個子場景，基本涵蓋信息系統開發過程遇到的大部分重點場景。

安全需求基線庫

在安全威脅分析模型的基礎上，開發安全管理平臺結合威脅資源庫，制定不同場景的安全需求基線，內容涵蓋豐富場景，包含500多條安全需求基線，有力提高安全需求分析的完備性，減少安全需求分析工作量。

安全設計庫

開發安全管理平臺針對安全需求，制定相應的安全設計，描述設計開發過程中的要點、以及相應的示例業務邏輯圖、示例代碼等。通過安全設計庫，對開發團隊安全功能的實現進行深度的支持，促進降低安全需求的開發成本，保障安全需求的開發效率和開發效果。

安全測試用例庫

對安全測試進行深度的整理，針對具體攻擊模式，建立對應的測試驗證方案，將安全測試規范化，形成一套標準化的安全測試方案，保證安全測試的效果的穩定。

開發安全管理流程支持

包括項目創建，安全需求分析，安全需求的增加、修改、刪除，安全需求的流轉確認等，助力實現開發條線與安全條線有效協作的工作機制。

安全需求

開發安全管理平臺針對應用系統對應的業務需求進行安全分析，確定系統應用軟件的安全需求。在需求分析過程中，有針對性的對業務系統安全性要求做細粒度安全需求分析，進行威脅建模，提供軟件安全需求。

安全設計

基于應用系統的安全需求提供軟件安全性設計依據和基礎，通過受攻擊面分析(最小化原則)，進而推進安全設計，通過對業務系統軟件安全的全面風險分析，形成系統軟件安全設計。

在以上兩個整個過程當中，應充分利用自動程序分析技術與工具，盡可能降低給開發人員帶來的影響和工作量。

滿足法律法規

《網絡安全法》等多部相關法律法規的頒布實施，信息安全已上升為國家戰略。做好風險防控，應將“抓源頭、控過程”的管理理念貫穿應用系統的全生命周期，做到各種風險的早發現、早識別，構建穩健、可持續發展的應用安全體系。

開發能力及意識的提升

開發人員更關注業務實現，缺乏對安全的關注，缺少對安全的控制環節與安全問題的解決；開發人員大多只具備開發編碼能力，缺乏信息安全知識及安全意識。開發安全治理，需要將安全集成在軟件開發的每一個階段，從需求、設計到軟件發布的每一階段都引入安全活動與規范，減少軟件中漏洞數量、提升軟件安全。