全方位安全保障能力

---

女娲平台为应用系统提供了全方位的安全保障能力，包括研发安全、系统安全、运维安全和数据安全。

图：女娲平台安全体系

研发安全

供应链安全：通过流水线自动扫描第三方组件、镜像等，识别安全漏洞和其他组件风险源。

代码扫描：在流水线自动对源代码进行代码质量与安全扫描，对于未通过质量门的代码不允许发版。

运行环境扫描：使用工具在流水线上自动或手动进行攻击性安全测试。

开发过程安全策略：代码仓库权限最小化，同时对高风险代码、高耗能代码进行安全审计。

系统安全

日志安全：提供日志审计、日志规范、日志收集的相关标准。

用户登录安全：加强密码安全策略，完善初始化密码流程。

第三方认证安全：基于OAuth2或者cas的认证机制，满足系统间的访问。

访问控制：统一权限体系实现对功能、资源、API等访问控制。

运维安全

监控：内置监控功能对系统情况进行实时监控，及时监测系统的异常状况。

漏洞库：久其自建的漏洞库管理仓库，记录女娲平台已知的安全问题。

巡检：定期或不定期组织巡检，通过工具以及巡检事项checklist对系统进行检查。

数据安全

DCMM模型：参照DCMM模型实现贯穿数据安全周期的各个环节安全管控。

数据资产测绘：自动测绘系统中包含的数据资产，并识别资产的安全级别。

数据合规检查和溯源：根据相关数据安全法规和条例，对数据进行合规检查，并提供数据流转轨迹和证据链。

数据安全事件告警：内置多种场景的监测和告警，帮助企业规避数据安全风险。