个人信息数据全生命周期过程中，应用软件作为个人信息数据的重要载体，包含收集、存储、处理、传播等流程，如何确保应用软件安全，降低应用软件个人信息泄露风险是信息控制者、服务或产品供应商需要重点关注的问题。

默安科技作为国内开发安全领域的先行者与领导者，自主研发的雳鉴S安全开发解决方案可提供一套完整“产品+服务+工具”的全流程方案，帮助应用系统供应商与运营商积极应对个人信息保护合规要求，规避潜在法律风险，在市场竞争中占据优势地位。

默安将根据个人信息保护领域相关法律法规要求，将个人信息数据安全融入到前期的威胁建模和安全设计中，在应用系统需求设计阶段就提出具体的数据应用场景风险和技术控制要求，包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。

【举个栗子】

在个人信息数据存储场景中，我国新出的《个人信息保护法（草案）》规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。这里的个人信息，至少应包含姓名、身份证号、护照号、电话、住址、邮件地址、微信帐号、银行卡号等，同时规定了“应采取相应的加密、去标识化等安全技术措施”，如果对这些数据未提出加密等安全要求，直接明文写入数据库（持久化数据库或者内存缓存数据库）或文件，就会违反《个人信息保护法》相关条例。

默安雳鉴IAST可快速检测发现应用软件中存在的数据安全问题：遵循《个人信息保护法（草案）》、 欧盟《通用数据保护条例（GDPR）》、《支付卡行业数据安全标准（PCI DSS）》等法规标准，支持对应用中不合规的个人隐私数据处理行为进行检测，解决法规标准中规定的身份证号、密码等信息明文保存至数据库、日志文件或响应时产生的隐私数据泄露问题，可迅速定位存在隐私泄露风险的漏洞地址和代码位置，帮助开发人员快速定位和复现问题。

默安雳鉴IAST提供了详细的风险修复建议，供开发人员参考。

【举个栗子】个人隐私数据泄露漏洞

• 漏洞描述：用户个人隐私数据（身份证号、手机号、银行卡号等）以明文处理存储到数据库中，日志或返回到响应中，不符合GDPR标准，导致攻击者可获取用户个人隐私数据。

• 修复建议：涉及到个人隐私的数据，在接口存储、传输等过程中需要进行加密/脱密处理，防止攻击者对个人隐私数据进行窃取等。

• 数据流信息：给出详细的漏洞代码位置、代码执行过程和漏洞判断依据，协助开发人员快速复现和修复漏洞。

另外，如果以上信息还是无法让开发人员理解和复现漏洞，默安的安全专家可以提供专业安全服务，协助并指导开发人员完成漏洞修复。