2019年年初，拼多多APP出現重大BUG，用戶可以在沒有任何限制的情況下無限領取100元無門檻優惠券。據不完全統計，一晚上的時間直接造成拼多多損失的優惠券面額達200多億。根據拼多多官方報道，此次事件是黑灰產團伙通過一個過期優惠券的漏洞，盜取了平臺優惠券數千萬元。

2018年年底，上海警方成功搗毀一個利用網上銀行漏洞非法獲利的犯罪團伙，該團伙成員發現并利用某銀行APP軟件中的質押貸款業務安全漏洞，使用非法手段累計非法獲利2800余萬元。

2018年11月，臺灣地區金管會銀行局副局長王立群表示，美國花旗銀行辦理信用卡業務的預繳卡費交易系統漏洞，此前遭到客戶利用，刷卡消費達6300余萬元新臺幣（約合人民幣1345萬元）。

在快節奏的軟件開發與應用漏洞頻繁的環境下，解決軟件漏洞問題是軟件開發團隊不得不面臨的一個艱巨任務。

自2004年起，SDLC就成為Microsoft全公司的計劃和強制施行政策。安全開發生命周期（SDLC）即Security Development Life Cycle，是一個幫助開發人員構建更安全軟件、滿足安全合規要求的同時降低開發成本的軟件開發過程。其核心理念就是將安全考慮集成在軟件開發的每一個階段:需求分析、設計、編碼、測試和維護。從需求、設計到發布產品的每一個階段都增加了相應的安全活動與規范，以減少軟件中漏洞的數量并將安全缺陷降低到最小程度。安全開發生命周期 (SDLC)是側重于軟件開發的安全保證過程，旨在開發出安全的軟件應用。

Microsoft 安全開發生命周期 – 簡化（中文版）

當前的軟件系統開發過程通常包括編碼、單元測試、集成測試、處理Bug等步驟。隨著系統復雜度的增加，模塊之間的依賴關系越來越復雜，很多Bug要到項目集成時才能發現，而且距離開發階段越久，Bug修復成本就越高。

隨著DevOps的出現，軟件開發和部署過程變得更快，迭代更加頻繁。為了在不犧牲速度和生產力的情況下有效降低風險，企業需要將安全性融入到DevOps流程和工具鏈。這一點比以往更加重要。懸鏡安全提供SDLC全開發流程DevSecOps自適應威脅管理體系解決方案。

在項目研發階段，懸鏡提供以懸鏡靈脈AI滲透測試平臺為核心的安全開發解決方案。懸鏡靈脈采用Gartner十大信息安全技術之一的IAST（交互式應用安全測試）灰盒測試技術方案，其AI啟發式網站掃描引擎可協助研發工程師、測試工程師、項目經理等非安全人員完成系統的漏洞測試。懸鏡靈脈不僅可以解決傳統黑盒掃描方式中爬蟲功能的局限性，還能夠將AI滲透測試無感地內化于SDL流程之中，大大減少了企業安全測試人員的人力成本。

*IAST交互式安全測試工具是全新一代“灰盒”代碼審計、安全測試和第三方軟件檢測產品，是近年來興起的一項新技術，被Gartner公司列為信息安全領域的Top10技術之一。融合了SAST和DAST技術的優點，無需源碼，支持對字節碼的檢測。IAST極大的提高了安全測試的效率和準確率，良好地適用于敏捷開發與DevOps，可以在軟件的開發和測試階段無縫集成現有開發流程，讓開發人員和測試人員在執行功能測試的同時，無感知地完成安全測試。

針對項目運營階段，懸鏡安全推出以懸鏡云衛士為核心的主機安全防御方案。懸鏡云衛士基于ASA自適應安全架構，從企業安全管理視角精準梳理IT資產，動態量化安全風險，提前做好塔防式安全防御體系，并基于攻擊鏈多錨點檢測技術實現黑客入侵的實時監測和響應，第一時間預警客戶并提供安全技術支持，及時規避漏洞風險。

關于SDLC開發過程中基于DevSecOps理念的解決方案是什么問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。