Secure SDLC
上千個應用程式無法僅靠政策來保護
標準與檢查清單,在真實的發布管線面前撐不住。要在規模上保護軟體,需要一套能看見每個應用程式的平台,以及懂得依其所見採取行動的工程師。
差異何在
於貴司內部 平台在貴司環境內運行,程式碼從不外流
平台與人員 與 CCI 工程師共同營運,是一份委任,而非工具授權
為規模而建 為數百至數千個應用程式的環境而設計
你會得到什麼
在管線之內、而非一旁運行的安全
一套部署於貴司內部的平台,盤點你的應用程式、觀察開發生命週期,並在修補成本最低之處,亦即發布前的管線之內,使弱點浮現。它以營運狀態交付。CCI 工程師與你的團隊並肩營運,因為這般廣度的平台,唯有當理解它的人對產出負責時才會奏效。你的程式碼留在貴司環境內;離開的是決策,而非原始碼。
如何進行
1 · 盤點
盤點應用程式環境與構建它的管線:在保護什麼之前,先弄清存在什麼。
2 · 佈建
將平台部署於貴司內部,並接入生命週期,從提交到發布。
3 · 營運
CCI 工程師與你的團隊營運平台,依實際風險而非數量為發現分流。
4 · 延續
交付一套可衡量、可重複的實務:在委任結束後依然站得住的安全。
為何平台與人員須並行
我們不單售平台,也不在沒有平台時派駐顧問。在這個規模,沒有營運者的工具只會產生雜訊,沒有工具的營運者則跟不上。兩者作為同一份委任交付,因為這是唯一行得通的配置。
隸屬於 CCI 的工程與保證業務,並餵養平台其餘部分所產生的同一份量化風險全貌。