企業應用安全能力的構建可以拆分為哪些重點任務

企業應用安全能力的構建可以拆分為以下重點任務：

• 建立應用部署規范和檢查清單，確保應用按照安全域劃分正確地部署在基礎設施環境中；建立應用運行環境規范和檢查清單，確保應用運行環境正確地使用網絡、主機和云基礎的安全防護能力，并能夠對應用的輸入、輸出進行監控。

• 建立覆蓋漏洞情報、漏洞掃描、滲透測試、眾測等在內的漏洞收集渠道，并反饋到缺陷（bug）管理平臺和安全防護平臺；建立漏洞評估和修復體系。

• 建立應急響應機制，對應用漏洞、安全事件進行及時響應。

• 提供安全意識和技能培訓，確保應用開發、測試人員建立對安全的理解，從而在相關組織中建立良好的安全文化。

• 優化應用開發流程，在需求確定、架構管控、編碼開發、測試評估等環節添加軟件開發生命周期（SDLC）安全控制機制。

• 編寫涵蓋國家和地方法律/法規、監管要求、行業標準、內部規范的安全合規要求檢查表，建立安全通用需求清單，把安全需求導入到應用；編寫覆蓋身份驗證、訪問控制、數據管控、密碼使用等安全功能的應用安全架構模板，確保應用在架構中導入安全基礎能力。

• 建設涵蓋靜態應用代碼安全測試（SAST）、動態應用代碼安全測試（DAST）、交互式應用代碼安全測試（ISAT）在內的應用代碼安全測試（AST）平臺，實現代碼安全檢查與應用開發測試的聚合；建設軟件組件分析（SCA）平臺，建立應用開發框架、中間件和通用庫清單，結合漏洞情報，提高應用開發框架、中間件和通用庫漏洞管理的準確性和效率。

• 制定應用安全測試用例清單，實現安全與測試的聚合。

• 建設融合身份管理、特權管理等安全管控措施的開發運維一體化（DevOps）平臺，為應用開發團隊提供支撐。

• ：建立應用開發框架、中間件和通用庫的黑名單，避免應用使用不安全的應用開發框架、中間件和通用庫。