软件安(ān)全问题一直都存在，一方面，软件内部可(kě)能(néng)存在安(ān)全漏洞，另一方面，在软件开发管理(lǐ)过程中(zhōng)如果不注重软件安(ān)全开发，便会埋下许多(duō)隐患。SDL软件安(ān)全开发周期Security Development Lifecycle ，是微软安(ān)全开发管理(lǐ)方法论中(zhōng)从安(ān)全角度指导软件开发过程的管理(lǐ)模式，其核心理(lǐ)念就是将软件安(ān)全的考虑集成在软件开发的每一个阶段：需求分(fēn)析、设计、开发、测试、部署和维护。

互联网时代，软件安(ān)全开发的重要性不言而喻。企业在软件开发的过程中(zhōng)面临着多(duō)种问题，如‍开发人员的安(ān)全专业能(néng)力参差不齐，无法承接和落实安(ān)全开发的工(gōng)作(zuò)；很(hěn)多(duō)安(ān)全工(gōng)具(jù)能(néng)力有(yǒu)限、数据孤立，无法对安(ān)全工(gōng)作(zuò)形成有(yǒu)效支撑；安(ān)全数据没有(yǒu)整合，无法建立完整的安(ān)全评价體(tǐ)系，难以对安(ān)全工(gōng)作(zuò)的成绩、问题进行全面分(fēn)析和表达；无法满足安(ān)全合规需求等，因此，企业需要进行安(ān)全开发建设以高效地应对这些问题。

安(ān)全开发的建设是个長(cháng)期的过程，企业需要了解软件开发生命周期，贯彻安(ān)全开发的思想，从源头着手，减少软件安(ān)全的缺陷和漏洞、培养软件开发人员的安(ān)全开发意识，提高安(ān)全开发水平，提升IT产(chǎn)品和系统的防御能(néng)力， 帮助企业构建更安(ān)全的软件，解决安(ān)全合规要求，降低开发成本。

爱加密安(ān)全开发管理(lǐ)平台以SDL（Security Development Lifecycle安(ān)全开发周期）為(wèi)设计理(lǐ)念，以安(ān)全开发流程、安(ān)全基線(xiàn)為(wèi)准绳，以安(ān)全需求与行业标准為(wèi)驱动，是覆盖应用(yòng)开发各环节、工(gōng)具(jù)统一运行调度的管理(lǐ)系统。平台包含了各阶段流程的梳理(lǐ)、相关安(ān)全知识库的建设、评审机制的建立，是覆盖应用(yòng)开发安(ān)全建设的智能(néng)安(ān)全管控平台，从立项开始安(ān)全管理(lǐ)全程介入，力争及早发现和解决安(ān)全问题，可(kě)实现安(ān)全左移的管理(lǐ)效果。爱加密安(ān)全开发管理(lǐ)平台秉持先进的设计理(lǐ)念，顺应软件开发时代潮流，兼容多(duō)种开发模式，包括自适应瀑布开发模型、敏捷开发模型、DevOps模型等，可(kě)為(wèi)各类企业软件开发安(ān)全赋能(néng)。

核心功能(néng)

标准功能(néng)：

安(ān)全需求分(fēn)析：采用(yòng)问答(dá)形式输入业務(wù)功能(néng)需求根据安(ān)全知识库生成安(ān)全需求清单。

安(ān)全解决方案：根据软件的安(ān)全需求及行业属性输出安(ān)全开发建议、安(ān)全设计方案并可(kě)选安(ān)全开发组件。

安(ān)全检查清单：根据软件的业務(wù)类型、安(ān)全需求及安(ān)全设计方案输出安(ān)全检查清单和测试用(yòng)例，指导安(ān)全人员、技(jì )术人员进行上線(xiàn)前的安(ān)全检查，帮助企业实现软件的安(ān)全左移。

灵活拓展：支持安(ān)全能(néng)力的拆分(fēn)与对接，最大限度融入企业开发、测试流程，实现DevOps的安(ān)全增值。

拓展功能(néng)：

定制化安(ān)全工(gōng)作(zuò)流程：可(kě)覆盖软件立项、安(ān)全设计、安(ān)全测试、安(ān)全发布等评审内容，实现软件全生命周期SDLC的安(ān)全管理(lǐ)。

扩展安(ān)全工(gōng)具(jù)：在安(ān)全测试环节可(kě)扩展白盒、黑盒维度的安(ān)全测试工(gōng)具(jù)，增强安(ān)全测试环节的效率与检测范围。

安(ān)全评价：支持对软件项目组、软件安(ān)全质(zhì)量进行评价与分(fēn)析，便于软件开发企业对安(ān)全开发工(gōng)作(zuò)的持续监测，建立長(cháng)效的管理(lǐ)机制。

应用(yòng)场景

PLAN计划阶段：能(néng)够提供系统风险等级和安(ān)全需求报告，让安(ān)全人员或开发人员尽快了解系统的风险程度及系统将面临哪些漏洞风险。

Create创建阶段：能(néng)够提供安(ān)全设计解决方案、安(ān)全开发建议、编码用(yòng)例及安(ān)全组件库，為(wèi)开发人员提供参考和使用(yòng)，赋能(néng)安(ān)全开发。

Verify核查阶段：能(néng)够提供安(ān)全测试用(yòng)例及方法、帮助开发人员或测试人员进行测试，提升测试效率，实现安(ān)全需求闭环管理(lǐ)。

产(chǎn)品价值

1、帮助软件开发企业提供软件生命周期中(zhōng)专业的安(ān)全知识库、安(ān)全威胁库、安(ān)全测试用(yòng)例库等内容，增强软件生命周期各环节的安(ān)全质(zhì)量。

2、提升软件项目组的安(ān)全设计能(néng)力、安(ān)全开发意识、安(ān)全测试效果以及整體(tǐ)的安(ān)全能(néng)力。

3、可(kě)覆盖多(duō)样化的开发模型，以灵活多(duō)变的方式為(wèi)各类软件开发进行安(ān)全赋能(néng)。

4、安(ān)全工(gōng)作(zuò)左移，在软件立项、设计之初便融入安(ān)全因素，使安(ān)全工(gōng)作(zuò)少走弯路。