开发安全管理平台

开发安全管理平台通过用户进行情景式的问答，从用户角度对业务系统典型场景功能进行梳理，对全部流程进行详细安全分析，进行风险识别与安全管控措施分析，为用户生成标准安全需求文档、安全设计文档与对应安全测试用例，为设计、开发及测试人员提供指导。

开发安全管理平台自动化安全需求分析功能，开发人员通过情景式问答，自动实现场景功能梳理与重要流程的详细安全分析，自动生成标准的安全需求文档、安全设计建议文档与对应安全测试用例。

威胁资源库

威胁资源库覆盖15个分类，500信息条，包含攻击执行顺序、执行攻击的前提条件、严重性、被利用可能性、实例、攻击者需要的知识和技能、探测技术、解决缓解方案等。

合规资源库

覆盖国家法律法规的相应文件，以及有关机构的要求文件等。检索方便、简捷，按照业务分类展开。业务覆盖100以上子类。

场景库

开发安全管理平台以场景为核心，包括Web应用场景、客户端场景、网络与通信场景、基础功能场景、业务场景五大类100多个子场景，基本涵盖信息系统开发过程遇到的大部分重点场景。

安全需求基线库

在安全威胁分析模型的基础上，开发安全管理平台结合威胁资源库，制定不同场景的安全需求基线，内容涵盖丰富场景，包含500多条安全需求基线，有力提高安全需求分析的完备性，减少安全需求分析工作量。

安全设计库

开发安全管理平台针对安全需求，制定相应的安全设计，描述设计开发过程中的要点、以及相应的示例业务逻辑图、示例代码等。通过安全设计库，对开发团队安全功能的实现进行深度的支持，促进降低安全需求的开发成本，保障安全需求的开发效率和开发效果。

安全测试用例库

对安全测试进行深度的整理，针对具体攻击模式，建立对应的测试验证方案，将安全测试规范化，形成一套标准化的安全测试方案，保证安全测试的效果的稳定。

开发安全管理流程支持

包括项目创建，安全需求分析，安全需求的增加、修改、删除，安全需求的流转确认等，助力实现开发条线与安全条线有效协作的工作机制。

安全需求

开发安全管理平台针对应用系统对应的业务需求进行安全分析，确定系统应用软件的安全需求。在需求分析过程中，有针对性的对业务系统安全性要求做细粒度安全需求分析，进行威胁建模，提供软件安全需求。

安全设计

基于应用系统的安全需求提供软件安全性设计依据和基础，通过受攻击面分析(最小化原则)，进而推进安全设计，通过对业务系统软件安全的全面风险分析，形成系统软件安全设计。

在以上两个整个过程当中，应充分利用自动程序分析技术与工具，尽可能降低给开发人员带来的影响和工作量。

满足法律法规

《网络安全法》等多部相关法律法规的颁布实施，信息安全已上升为国家战略。做好风险防控，应将“抓源头、控过程”的管理理念贯穿应用系统的全生命周期，做到各种风险的早发现、早识别，构建稳健、可持续发展的应用安全体系。

开发能力及意识的提升

开发人员更关注业务实现，缺乏对安全的关注，缺少对安全的控制环节与安全问题的解决；开发人员大多只具备开发编码能力，缺乏信息安全知识及安全意识。开发安全治理，需要将安全集成在软件开发的每一个阶段，从需求、设计到软件发布的每一阶段都引入安全活动与规范，减少软件中漏洞数量、提升软件安全。