金融证券行业DevSecOps安全体系建设实践：安全左移与全生命周期管控

安全的本质是风险和信任的平衡，如何在开发效率与安全保障之间找到最优解，是金融企业数字化转型中的关键命题。

一、行业背景与挑战

民生证券股份有限公司成立于1986年，注册资本113.84亿元，是新中国成立最早的证券公司之一。公司在北京、上海、深圳、广州、郑州等地设立了80余家分支机构，业务范围覆盖全国近30个省、直辖市及自治区。

近年来，云计算、人工智能、大数据等信息技术不断发展，各行各业信息化水平持续提高，网络安全风险不断累积，金融证券行业面临着日益增多的威胁挑战。

值得关注的是，开源生态的完善与发展使越来越多企业引入开源技术。对于金融证券行业而言，开源生态共建与安全威胁呈现“共生共存” 的状态。与此同时，众多金融企业正在进行数字化转型能力建设，业务从传统开发向敏捷式开发转变，迭代速度加快、发版周期缩短，传统安全管控模式已难以满足新形势下的安全需求。

二、建设目标

01 实现安全管控流程标准化

通过DevSecOps开发安全一体化管控平台建设，指导落地开发与测试技术标准体系，让安全工作有据可依。

02 实现全生命周期安全管理

对软件生命周期各阶段进行安全管理，实现真正的“安全左移”——将安全管理工作前移至开发阶段。

03 提高安全效率，降低管控成本

将SCA（软件成分分析）等自动化安全检测工具接入研发环节，降低人工安全审查成本。

04 满足信创合规要求

管控平台所采用的服务器、数据库、中间件、操作系统等软硬件产品，均为国产自主研发方案。

三、方案设计思路

民生证券DevSecOps安全体系建设方案分为三个核心阶段。

第一阶段：源头治理

主要针对供应商提供的合作开发产品，以及直接采购的第三方产品进行管控。依托二进制SCA能力及软件采购规范、SBOM（软件物料清单）要求、供应商管理规范等制度，配合软件SBOM审查、组件/许可风险审查、供应链安全审查等工作，从软件源头引入安全保障。

第二阶段：研发过程治理

针对SDLC（软件开发生命周期）的开发、测试与交付环节，通过引入SAST（静态应用安全测试）、SCA、IAST（交互式应用安全测试）等安全检测工具，提升“左移”代码安全扫描能力。将工具与CI/CD自动化流程对接，配合质量门禁管理实现自动发版质量控制，融入DevOps体系。

第三阶段：上线运营治理

引入ASOC（应用安全运维与编排）能力，整合SCA、SAST、IAST等检测结果，进行风险验证和关联分析，帮助业务部门聚焦真实风险，降低漏洞管理工作量，提升验证修复效率。

四、核心技术能力

01 供应商开源安全管控

建立第三方组件引入的全链路审查机制，确保从源头控制供应链安全。

02 研发过程入口管控

构建数字供应链的“安全防火墙”，在代码进入仓库前即完成安全扫描。

03 DevSecOps落地实践

将安全工具与DevOps流程深度融合，实现“安全即代码”的自动化管控。

04 SBOM信息管理

在供应链各环节构建完整的软件物料清单，实现软件资产可视化。

五、实施效果总结

通过DevSecOps安全体系的全面化建设，结合安全左移理念，将安全融入到软件生命周期的研发阶段，从根源上介入安全管控。

针对自研项目和外包项目，在软件生命周期的不同阶段引入SCA和IAST等安全检测工具，实现自动化安全风险分析、质量管控及漏洞信息的分发流程管控。

其中，SCA工具能够有效识别第三方组件中的已知漏洞，IAST则能在测试阶段精准定位应用内部的安全缺陷，显著提升漏洞检测效率。

通过优化工作流程，提升系统应用安全的管理效率和运营能力，降低漏洞修复成本，最终落地基于DevSecOps体系的应用安全开发管控平台，保障数字应用安全风险的高效治理。