开发安全IAST测试工具可行性报告 - 南京证券

一、项目背景

随着金融行业的快速发展，证券行业也逐渐成为了一个高风险的行业。随着网络安全威胁不断增加，证券公司的开发安全问题也越来越受到关注。开发安全威胁包括：软件漏洞、恶意代码、供应链安全威胁等。这些威胁可能导致证券公司的客户数据泄露、交易数据被篡改等问题，给证券公司的业务和声誉带来负面影响。

为了保障金融安全，国家、人行、网信办、公安、证监会等监管机构制定了一系列的法律法规和监管要求，特别是人民银行、证监会等直接监管机构。这些法律法规和监管要求包括开发安全管理规范、安全技术要求、安全检测报告等，要求证券公司在开发安全方面做好管理和控制。

目前，证券公司在开发安全方面存在一些问题和隐患。例如，漏洞检测不完全、漏洞修复不及时、安全意识不足等。这些问题可能导致证券公司面临安全威胁和法律风险。

因此，开发安全IAST测试工具的研发对于证券公司来说至关重要。

二、项目目标

本项目的目标是开发一款开发安全IAST测试工具，包括但不限于以下内容：

1. 提供可靠的漏洞检测和修复方案，帮助证券公司有效降低漏洞风险；

2. 提高证券公司开发人员的安全意识和安全能力；

3. 与监管要求和法律法规相符合，为证券公司提供合规的开发安全管理服务；

4. 为证券公司提供更加高效和便捷的开发安全管理工具。

三、业务可行性分析

（一）同业状况分析

目前，其他证券公司已经开始关注开发安全问题，并且采取了一些措施来解决这些问题。例如，一些证券公司已经开始采用IAST测试工具进行漏洞检测和修复，或者将安全评估纳入开发流程中。这些措施对于提高开发安全水平和保障金融安全具有重要意义。

（二）我司业务情况分析

目前，南京证券在开发安全方面存在一些问题。公司只有poc设备，功能用户数受限，使用时长也受限，无法满足公司业务需求。此外，公司开发人员的安全意识和安全能力也需要提高。

因此，开发安全IAST测试工具对于南京证券来说具有重要意义。

（三）后续的持续投入情况

在项目完成后，我们将继续进行持续投入，包括但不限于以下内容：

1. 持续提供漏洞检测和修复方案，保障证券公司的开发安全；

2. 持续提高开发人员的安全意识和安全能力，提高公司的整体安全水平；

3. 持续关注监管要求和法律法规，保证公司的合规性。

四、技术可行性分析

（一）总体架构设计

我们的开发安全IAST测试工具的总体架构如下图所示：

图1 总体架构设计

（二）项目部署方案

我们的开发安全IAST测试工具部署方案如下：

1. 部署在证券公司内网环境中；

2. 采用分布式架构，支持多节点部署；

3. 采用容器化部署，方便管理和维护。

参考其他证券公司的实际部署案例，可将测试工具部署在开发环境和测试环境中，并与代码管理系统、构建系统、CI/CD系统等集成，实现自动化漏洞检测和修复。

五、项目收益分析

本项目对于南京证券的收益包括但不限于以下几个方面：

1. 减少漏洞数量和程度，提高公司的安全水平；

2. 提高开发人员的安全意识和安全能力，减少安全漏洞的发生；

3. 降低人力和资金成本，提高公司的效率和盈利能力；

4. 符合监管要求和法律法规，保证公司的合规性。

六、项目风险分析

本项目存在一些技术风险，例如：

1. 无法检出100%的漏洞，可能会存在遗漏漏洞的情况；

2. 可能会存在误报的情况，增加了开发人员的工作量。

对于这些风险，我们将采取以下措施：

1. 优化测试算法，提高漏洞检测的准确性和覆盖率；

2. 提供详细的漏洞报告，帮助开发人员快速定位和修复漏洞。

七、结论意见

本项目的研发对于南京证券的开发安全具有重要意义。通过开发安全IAST测试工具，可以提高公司的安全水平和合规性，降低漏洞风险，减少人力和资金成本，提高公司的效率和盈利能力。

因此，我们建议公司批准启动该项目的立项，并给予足够的支持和投入。