深信服携手ISV蓝网科技：构建医疗行业SDL安全开发体系最佳实践

随着数字化浪潮奔涌而来，用户业务系统复杂度越来越高，给ISV业务安全防护带来更多的挑战。基于传统防护方案去解决产品安全问题的方式，并不能从根源杜绝风险发生，这种救火式的边界解决方案面对日益庞大复杂的应用系统显得越来越力不从心。

因此，安全“左移”的业务安全解决方案被提出，并逐渐成为业界共识：即从软件安全问题产生的源头——软件开发过程入手，构建安全开发体系。根据企业自身情况定制适配企业的安全开发体系是防范软件产品安全问题的更优选择。

蓝网科技股份有限公司（下称“蓝网科技”）是国内前沿的医疗信息化整体方案供应商。基于公司业务发展、上游用户安全需求越来越强烈，蓝网科技意识到做好产品安全质量，交付安全可靠的软件产品将成为公司未来核心竞争力。

2021年，深信服 SDL安全开发服务团队协助蓝网科技构建企业安全开发体系：

1. 2个体系

• 管理体系：主要包括人员规划、产品安全质量制度建设、 安全开发流程建设、持续改善与评估PSMM模型（软件安全成熟度模型）、应急响应和安全运营。
• 技术体系：包括AST工具链集成、安全需求与设计、安全编码规范等的建设。

2. 6大维度

人员安全能力提升＆安全人力投入、安全质量制度、安全开发流程（SDL）、安全扫描工具（包括：静态代码扫描、软件成分分析、漏扫）、技术规范、测试规范、安全运营等几个维度建设安全开发流程。

基于医疗行业特性，深信服专门定制基于医疗应用系统安全需求与规范，助力蓝网为医疗用户提供安全可靠、稳定无忧的高质量产品方案。

通过SDL实践落地，蓝网科技构建了完备的安全开发体系流程制度，架构师、开发人员、测试人员、安全运营人员安全意识和能力均得到全面提升，并建立起完善的事件响应机制，能应对不同级别的安全事件，产品安全漏洞也大幅减少。