乐信旗下分期乐业务日前获得了公安部第一研究所颁发的《源代码安全审计证书》，这意味着分期乐用户数据安全得到长期有效保证，乐信的消保措施再次获得国家级平台认可。数据线上，截至2023年底，乐信筑起的系统安全屏障成功拦截了2.1亿次数据安全攻击，数据防护与治理体系自2020年初上线以来继续保持了零数据泄露的纪录。

　　此次评估公安部第一研究所通过技术、人工相结合的双重排查方式，对分期乐APP源代码进行全面静态分析，并最终给出数据安全的结论。作为乐信消保工作的重要内容之一，乐信高度重视并将数据安全贯穿于设计、开发、测试、运营等开发生命周期的每一个环节，此前，乐信还获得数据安全管理能力认证（DSMC）、个人信息保护影响评估试点等多项国家级认证。

　　近年来，随着应用软件越来越开放化、多元化，源代码编写常常采用第三方框架或开源组件，一旦引用不规范，或者开源组件存在安全漏洞，就很容易被攻击者利用，威胁软件系统和其应用数据的安全。乐信积极探索和采用安全软件开发生命周期（SSDLC）、DevSecOps等实践，实现开发全生命周期的数据安全管理的数据化、智能化、自动化，全面提升代码安全水平。

　　具体来说，乐信按照SSDLC的管理模式指导软件开发全过程，在传统软件开发生命周期SDLC的各个阶段增加必要的安全活动，从安全需求、安全设计、安全开发、安全测试直到安全运营。比如：在设计阶段，乐信研发团队会进行威胁建模，识别潜在的安全威胁并制定对策，检查和监控第三方组件的安全漏洞；在测试阶段，乐信研发团队会执行动态应用程序扫描（DAST）和模糊测试，进行渗透测试以暴露隐藏的漏洞；最后的部署维护阶段，团队会严格执行环境响应和事件响应计划，定期进行安全审计，以应对新形式的攻击和漏洞。

　　与此同时，通过DevSecOps实践，乐信在软件开发过程的每个阶段集成安全测试，在开发、测试、交付、运营各环节进行全方位的安全能力建设，形成完善的研发运营一体化安全管控体系。比如：在开发测试阶段，乐信集成多种安全扫描工具对编码规范、开源组件安全性等进行扫描,保障产品的安全性；建立专门的测试用例和构成，结合DAST动态测试工具,多方位验证应用程序的安全性。在发布部署阶段，乐信设置专门的安全审核点，实现安全管控的闭环管理；在最终运营阶段，乐信也建立了完善的监控和预警机制，及早发现安全问题并高效处理。

　　通过SSDLC过程管理和DevSecOps系统实践，乐信将安全贯穿于设计、开发、测试、运营生命周期的每个环节，使源代码安全漏洞能够得到尽早发现、尽快解决，有效避免软件漏洞、全面防止风险发生。

（文章来源：经济参考网）