客户简介

国内某大型股份制商业，其数字化水平属于同行中的佼佼者，在《银行家》杂志公布的“2022年全球银行1000强”榜单中名列前茅。

面临的挑战

该银行应用系统数量庞大，多款应用系统的月活跃用户均达到亿级别，对应用系统的迭代速度、并发数量、稳定性、安全性等要求非常高。

随着DevOps模式在应用系统开发中的推广，该银行以往采用的web漏洞扫描器+人工渗透方式进行上线前的安全检测，在扫描速度和人工渗透速度上均远远跟不上项目发布速度。因此，寻找一款可靠性高、稳定性强、自动化程度高、漏报误报双低的安全测试解决方案迫在眉睫。

解决方案及部署情况

默安科技雳鉴IAST分布式集群与该银行总行自研的Pipeline流水线平台无缝融合，在测试阶段完成自动化集成，进行安全测试与结果跟踪，并与项目管理平台集成，实现漏洞的持续跟踪和闭环管理，保证开发效率的同时，大力提升应用系统的安全。

使用基于请求和基于代码数据流两种技术的融合架构，雳鉴IAST结合SAST和DAST的优点，帮助该银行做到检出率极高且误报率极低，定位到API接口和代码片段，并提供代码级的漏洞详情信息，帮助开发人员理解和修复漏洞，为应用系统上线前做强有力的安全保障。

此外，针对该银行的应用安全测试需求，默安科技通过在总行测试环境中部署雳鉴IAST插桩模式，并在多个分行测试环境部署流量镜像，实现全行测试环境下漏洞的实时检测、持续跟踪和闭环管理。

带来的价值

大规模场景下，快速高效发现漏洞、解决上线前安全问题

本次超大规模DevSecOps分布式部署顺利完成并稳定运行，据统计，历史在线插桩Agent数量达到数百万，同时在线插桩Agent数量也高达十几万，漏洞检出效果显著，在开发环节极大提升应用系统的安全性。

平滑集成到流水线平台，对研发工作零影响

该银行拥有超大规模的研发与测试流水线，默安科技此次超大规模DevSecOps分布式部署在保证开发效率的同时，对研发工作的正常开展做到近乎零影响。

多项功能调优与改善

1 针对插桩agent并发数量，通过对网关、架构的优化，实现支持10w+agent同时在线。

2 通过对数据库、缓存的优化，大幅度提高了报告生成速度。

3 通过对数据库、架构、缓存的优化，实现极大提升页面数据查询速度，超大数据量情况下秒级响应。

4 优化复杂网络架构下的扫描器分布式部署，解决镜像流量模式下扫描速度慢的问题。

众所周知，银行业对应用系统稳定性的要求非常高，该银行相关领导表示：银行用的可能不是最先进的技术，但一定是最成熟的技术。从2017年开始打磨开发安全体系，默安科技目前已经拥有领先的完整DevSecOps方案，形成的产品矩阵在业内具备强大竞争力，稳定性是其中最重要的竞争力之一。

不仅在银行业拥有众多深度落地的案例，默安雳鉴DevSecOps体系已在政府、保险、证券、能源、制造、IT以及互联网等多个行业成功应用，获得一致好评。