分期乐获公安部一所证书 消保措施获认可
转自:经济参考网
乐信旗下分期乐业务日前获得了公安部第一研究所颁发的《源代码安全审计证书》,这意味着分期乐用户数据安全得到长期有效保证,乐信的消保措施再次获得国家级平台认可。数据线上,截至2023年底,乐信筑起的系统安全屏障成功拦截了2.1亿次数据安全攻击,数据防护与治理体系自2020年初上线以来继续保持了零数据泄露的纪录。
此次评估公安部第一研究所通过技术、人工相结合的双重排查方式,对分期乐APP源代码进行全面静态分析,并最终给出数据安全的结论。作为乐信消保工作的重要内容之一,乐信高度重视并将数据安全贯穿于设计、开发、测试、运营等开发生命周期的每一个环节,此前,乐信还获得数据安全管理能力认证(DSMC)、个人信息保护影响评估试点等多项国家级认证。
近年来,随着应用软件越来越开放化、多元化,源代码编写常常采用第三方框架或开源组件,一旦引用不规范,或者开源组件存在安全漏洞,就很容易被攻击者利用,威胁软件系统和其应用数据的安全。乐信积极探索和采用安全软件开发生命周期(SSDLC)、DevSecOps等实践,实现开发全生命周期的数据安全管理的数据化、智能化、自动化,全面提升代码安全水平。
具体来说,乐信按照SSDLC的管理模式指导软件开发全过程,在传统软件开发生命周期SDLC的各个阶段增加必要的安全活动,从安全需求、安全设计、安全开发、安全测试直到安全运营。比如:在设计阶段,乐信研发团队会进行威胁建模,识别潜在的安全威胁并制定对策,检查和监控第三方组件的安全漏洞;在测试阶段,乐信研发团队会执行动态应用程序扫描(DAST)和模糊测试,进行渗透测试以暴露隐藏的漏洞;最后的部署维护阶段,团队会严格执行环境响应和事件响应计划,定期进行安全审计,以应对新形式的攻击和漏洞。
与此同时,通过DevSecOps实践,乐信在软件开发过程的每个阶段集成安全测试,在开发、测试、交付、运营各环节进行全方位的安全能力建设,形成完善的研发运营一体化安全管控体系。比如:在开发测试阶段,乐信集成多种安全扫描工具对编码规范、开源组件安全性等进行扫描,保障产品的安全性;建立专门的测试用例和构成,结合DAST动态测试工具,多方位验证应用程序的安全性。在发布部署阶段,乐信设置专门的安全审核点,实现安全管控的闭环管理;在最终运营阶段,乐信也建立了完善的监控和预警机制,及早发现安全问题并高效处理。
通过SSDLC过程管理和DevSecOps系统实践,乐信将安全贯穿于设计、开发、测试、运营生命周期的每个环节,使源代码安全漏洞能够得到尽早发现、尽快解决,有效避免软件漏洞、全面防止风险发生。