近日，樂信旗下分期樂業(yè)務(wù)獲得了公安部第一研究所頒發(fā)的《源代碼安全審計證書》，這意味著分期樂用戶數(shù)據(jù)安全得到長期有效保證，樂信的消保措施再次獲得國家級平臺認(rèn)可。據(jù)悉，此次評估公安部一所通過嚴(yán)謹(jǐn)?shù)募夹g(shù)、人工相結(jié)合的雙重排查方式，對分期樂APP源代碼進(jìn)行全面靜態(tài)分析，并最終給出數(shù)據(jù)安全的結(jié)論。作為樂信消保工作的重要內(nèi)容之一，樂信高度重視并將數(shù)據(jù)安全貫穿于設(shè)計、開發(fā)、測試、運營等開發(fā)生命周期的每一個環(huán)節(jié)，此前，樂信還獲得數(shù)據(jù)安全管理能力認(rèn)證（DSMC）、個人信息保護(hù)影響評估試點等多項國家級認(rèn)證。

近年來，隨著應(yīng)用軟件越來越開放化、多元化，源代碼編寫常常采用第三方框架或開源組件，一旦引用不規(guī)范，或者開源組件存在安全漏洞，就很容易被攻擊者利用，威脅軟件系統(tǒng)和其應(yīng)用數(shù)據(jù)的安全。樂信積極探索和采用安全軟件開發(fā)生命周期（SSDLC）、DevSecOps等實踐，實現(xiàn)開發(fā)全生命周期的數(shù)據(jù)安全管理的數(shù)據(jù)化、智能化、自動化，全面提升代碼安全水平。

具體來說，樂信按照SSDLC的管理模式指導(dǎo)軟件開發(fā)全過程，在傳統(tǒng)軟件開發(fā)生命周期SDLC的各個階段增加必要的安全活動，從安全需求、安全設(shè)計、安全開發(fā)、安全測試直到安全運營。比如：在設(shè)計階段，樂信研發(fā)團(tuán)隊會進(jìn)行威脅建模，識別潛在的安全威脅并制定對策，檢查和監(jiān)控第三方組件的安全漏洞；在測試階段，樂信研發(fā)團(tuán)隊會執(zhí)行動態(tài)應(yīng)用程序掃描（DAST）和模糊測試，進(jìn)行滲透測試以暴露隱藏的漏洞；最后的部署維護(hù)階段，團(tuán)隊會嚴(yán)格執(zhí)行環(huán)境響應(yīng)和事件響應(yīng)計劃，定期進(jìn)行安全審計，以應(yīng)對新形式的攻擊和漏洞。

與此同時，通過DevSecOps實踐，樂信在軟件開發(fā)過程的每個階段集成安全測試，在開發(fā)、測試、交付、運營各環(huán)節(jié)進(jìn)行全方位的安全能力建設(shè)，形成完善的研發(fā)運營一體化安全管控體系。比如：在開發(fā)測試階段，樂信集成多種安全掃描工具對編碼規(guī)范、開源組件安全性等進(jìn)行掃描,保障產(chǎn)品的安全性；建立專門的測試用例和構(gòu)成，結(jié)合DAST動態(tài)測試工具,多方位驗證應(yīng)用程序的安全性。在發(fā)布部署階段，樂信設(shè)置專門的安全審核點，實現(xiàn)安全管控的閉環(huán)管理；在最終運營階段，樂信也建立了完善的監(jiān)控和預(yù)警機(jī)制，及早發(fā)現(xiàn)安全問題并高效處理。

通過SSDLC過程管理和DevSecOps系統(tǒng)實踐，樂信將安全貫穿于設(shè)計、開發(fā)、測試、運營生命周期的每個環(huán)節(jié)，使源代碼安全漏洞能夠得到盡早發(fā)現(xiàn)、盡快解決，有效避免軟件漏洞、全面防止風(fēng)險發(fā)生。據(jù)悉，截至2023年底，樂信筑起的系統(tǒng)安全屏障成功攔截了2.1億次數(shù)據(jù)安全攻擊，數(shù)據(jù)防護(hù)與治理體系自2020年初上線以來繼續(xù)保持了零數(shù)據(jù)泄露的記錄。

消費者權(quán)益保護(hù)是一項長期、系統(tǒng)性的工程，樂信還將不斷創(chuàng)新探索技術(shù)應(yīng)用，持續(xù)升級消保服務(wù)體系，承擔(dān)更多責(zé)任，保護(hù)好每一位消費者的正當(dāng)權(quán)益。