首頁 > 新聞資訊 所有金融行業的參與者都需要遵守許多監管要求。在歐盟內部,《數字運營彈性法案》(以下簡稱 DORA)的到來使得歐洲金融機構必須符合統一規定,以提高其數字系統安全性。金融實體需要在引入新服務或重新引入現有服務之前進行漏洞評估,并被要求每年至少對所有關鍵應用程序和系統進行一次測試。
意大利某信貸集團借助 OpenText Fortify 為遵從 DORA 做好了充分的準備,同時實現了簡化引入外部軟件的流程。
「FOCUS · 焦點」成功案例大賞
「DORA 的出現帶來了新的挑戰」
迎擊挑戰
意大利某信貸集團作為金融業一員,需要為遵從DORA 做好準備,并在其軟件開發周期內集成適當的測試工具,以增加其軟件解決方案的彈性水平。為此,該集團求助于其信賴的合作伙伴——聯合企業管理咨詢公司(Join Business Management Consulting,曾被《金融時報》和《太陽報》評為歐洲發展最快的公司之一)。聯合企業管理咨詢公司風險、合規和網絡安全實踐主管 Maurizio Garofalo 解釋道:
“我們進行了市場分析以確定滿足客戶需求的解決方案,比如在應用程序生命周期內引入靜態代碼分析機制的需求。”
「Fortify,以卓越功能脫穎而出」
解決方案
Garofalo 繼續說道:
“我們認為 OpenText Fortify 是滿足信貸集團需求的最佳解決方案。事實上,除了我們與客戶確定的標準之外,Fortify 在多個方面都優于其他解決方案。首先,我們喜歡它作為一個成熟解決方案(被Gartner、Forrester、IDC和G2等認可為市場領導者)所帶來的卓越的可靠性和豐富的功能。我們也很欣賞 Fortify 廣泛的語言支持,以及其在本地部署模式和靈活的云服務中均可使用的特性,是一個更適合我們客戶的軟件合作伙伴。”
OpenText Fortify 是一套具有包容性、可擴展的應用程序安全解決方案,擁有 20 年的經驗并不斷進行自我優化。Fortify 通過其靜態應用程序安全測試(SAST)模塊進行靜態代碼測試,用動態應用程序安全測試(DAST)模塊進行動態代碼測試,以及軟件組成分析(SCA)來確保所使用的任何開源代碼組件的安全性,從而實現端到端的應用程序生命周期管理。
利用復雜的人工智能技術,Fortify 允許對代碼進行自動安全檢查,建議必要的更改,以確保代碼盡可能強大。Garofalo 如此評論:
“Fortify 提供的保護級別可以促進包括金融業在內多個領域的 DevSecOps 模型開發及監管合規。”
「完全符合DORA規定,優化供應商協作」
積極成果
項目在開始利用了 Fortify on Demand,它提供了應用程序安全服務,無需額外的基礎設施或資源。這對于驗證來自外部或商業供應商(通常是專門從事銀行解決方案的小型軟件公司)的軟件特別有價值。信貸集團不能與外部供應商共享其源代碼,因為它受知識產權法的保護,也不能接受未經按照其自己的軟件開發標準檢查的代碼。
然而,利用 Fortify on Demand,信貸集團可以通過代碼安全掃描為外部供應商提供應用程序測試的訪問權限,這使它可以獲得獨立的安全認證,以確保軟件的安全性符合要求。
信貸集團在三家內部開發工廠內利用 Fortify 的本地解決方案,使用了預定義的語言。第一家工廠專注于開發家庭銀行應用程序及其相關的移動接入應用程序。第二家工廠開發為集團的信息系統開發核心應用程序,用于管理集團 180 個分支機構之間的通信。第三家工廠開發了用于創建借記卡、信用卡和預付卡的軟件。Garofalo 解釋說:
“具有按需和本地功能的 Fortify 混合部署模型,對集團的所有軟件開發至關重要,因為它確保了每個代碼組件在投入生產之前都經過了檢查和修復。”
「Fortify 已成客戶軟件開發核心」
積極成果
Fortify 的引入使得 15 個業務關鍵應用程序成功且無縫地被部署,包括開發的代碼和開源組件。按照Fortify 流程,100% 的新軟件發布都經過了安全驗證,并通過了開源應用程序安全基金會(OWASP)前 10 名以及系統管理、審計、網絡和安全(SANS)前 25 名標準的認證。
信貸集團發現,通過引入 Fortify 和一項游戲化培訓計劃,開發人員提高了安全意識,代碼漏洞減少了 50%。集團首席信息安全官評論道:
“我們認為在我們的軟件生命周期管理中采用‘安全設計’原則是我們網絡彈性戰略的一個基石。事實證明,Fortify 是貫徹這一原則的理想技術合作伙伴,因為它在漏洞分析的深度、廣度和精度,DevOps 集成以及服務模型的靈活性方面表現出色。”
Garofalo總結道:
“信貸集團對 Fortify 增強應用程序開發安全性、消除代碼漏洞和遵守 DORA 規定的能力感到滿意。Fortify 通過確保每個代碼組件在投入生產之前都經過檢查和修復,已成為信貸集團所有軟件開發的核心。”
關于 OpenText
OpenText 已完成對 Micro Focus 的收購。我們非常期待今后能為客戶帶來更豐富的產品和服務,為不斷增長的數字化需求和智能化工作提供支持。目前,我們擁有 25,000 名專家,能夠為服務客戶及推動創新提供不竭動力。
Micro Focus 將為 OpenText 帶來關鍵技術,其中包括全新的 AI 與分析、應用開發與交付、應用現代化,以及數字運營管理。這些新技術能夠為 OpenText 提供強而有力的支持,鞏固其在內容服務、商業網絡、數字體驗和網絡安全領域的市場領先地位。
通過整合兩家公司的綜合能力,我們能夠幫助客戶取得信息優勢,加快數字化轉型歷程。整合后的新公司將聚焦未來業務發展,實現以人為本、兼容并蓄的可持續增長。我們還通過整合信息和自動化來加速處理復雜難題,讓任何規模的企業都能利用新的數字結構、新的規則,以及新的工作方式實現重塑。許多享譽全球的公司全都仰賴 OpenText,并且十分認可我們在提供智能工作方式方面的專業知識。OpenText 不僅能夠發揮信息的強大作用,而且非常重視信息保護,讓組織和個人都能發揮出最大潛力。?
(文章來源公眾號:MicroFocus)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
關于億道電子
上海億道電子技術有限公司是國內資深的研發工具軟件提供商,公司成立于2009年,面向中國廣大的制造業客戶提供研發、設計、管理過程中使用的各種軟件開發工具,致力于幫助客戶提高研發管理效率、縮短產品設計周期,提升產品可靠性。
十多年來,先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰略合作伙伴關系,并作為他們在中國區的主要分銷合作伙伴服務了數千家中國本土客戶,為客戶提供從芯片級開發工具、EDA設計工具、軟件編譯以及測試工具、結構設計工具、仿真工具、電氣設計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經驗積累,真正的幫助客戶實現了讓研發更簡單、更可靠、更高效的目標。
歡迎關注“億道電子”公眾號
了解更多研發工具軟件知識
