所有金融行业的参与者都需要遵守许多监管要求。在欧盟内部，《数字运营弹性法案》(以下简称 DORA)的到来使得欧洲金融机构必须符合统一规定，以提高其数字系统安全性。金融实体需要在引入新服务或重新引入现有服务之前进行漏洞评估，并被要求每年至少对所有关键应用程序和系统进行一次测试。

意大利某信贷集团借助 OpenText Fortify 为遵从 DORA 做好了充分的准备，同时实现了简化引入外部软件的流程。

「FOCUS · 焦点」成功案例大赏

「DORA 的出现带来了新的挑战」

迎击挑战

意大利某信贷集团作为金融业一员，需要为遵从DORA 做好准备，并在其软件开发周期内集成适当的测试工具，以增加其软件解决方案的弹性水平。为此，该集团求助于其信赖的合作伙伴——联合企业管理咨询公司（Join Business Management Consulting，曾被《金融时报》和《太阳报》评为欧洲发展最快的公司之一）。联合企业管理咨询公司风险、合规和网络安全实践主管 Maurizio Garofalo 解释道：

“我们进行了市场分析以确定满足客户需求的解决方案，比如在应用程序生命周期内引入静态代码分析机制的需求。”

「Fortify，以卓越功能脱颖而出」

解决方案

Garofalo 继续说道：

“我们认为 OpenText Fortify 是满足信贷集团需求的最佳解决方案。事实上，除了我们与客户确定的标准之外，Fortify 在多个方面都优于其他解决方案。首先，我们喜欢它作为一个成熟解决方案（被Gartner、Forrester、IDC和G2等认可为市场领导者）所带来的卓越的可靠性和丰富的功能。我们也很欣赏 Fortify 广泛的语言支持，以及其在本地部署模式和灵活的云服务中均可使用的特性，是一个更适合我们客户的软件合作伙伴。”

OpenText Fortify 是一套具有包容性、可扩展的应用程序安全解决方案，拥有 20 年的经验并不断进行自我优化。Fortify 通过其静态应用程序安全测试（SAST）模块进行静态代码测试，用动态应用程序安全测试（DAST）模块进行动态代码测试，以及软件组成分析（SCA）来确保所使用的任何开源代码组件的安全性，从而实现端到端的应用程序生命周期管理。

利用复杂的人工智能技术，Fortify 允许对代码进行自动安全检查，建议必要的更改，以确保代码尽可能强大。Garofalo 如此评论：

“Fortify 提供的保护级别可以促进包括金融业在内多个领域的 DevSecOps 模型开发及监管合规。”

「完全符合DORA规定，优化供应商协作」

积极成果

项目在开始利用了 Fortify on Demand，它提供了应用程序安全服务，无需额外的基础设施或资源。这对于验证来自外部或商业供应商(通常是专门从事银行解决方案的小型软件公司)的软件特别有价值。信贷集团不能与外部供应商共享其源代码，因为它受知识产权法的保护，也不能接受未经按照其自己的软件开发标准检查的代码。

然而，利用 Fortify on Demand，信贷集团可以通过代码安全扫描为外部供应商提供应用程序测试的访问权限，这使它可以获得独立的安全认证，以确保软件的安全性符合要求。

信贷集团在三家内部开发工厂内利用 Fortify 的本地解决方案，使用了预定义的语言。第一家工厂专注于开发家庭银行应用程序及其相关的移动接入应用程序。第二家工厂开发为集团的信息系统开发核心应用程序，用于管理集团 180 个分支机构之间的通信。第三家工厂开发了用于创建借记卡、信用卡和预付卡的软件。Garofalo 解释说：

“具有按需和本地功能的 Fortify 混合部署模型，对集团的所有软件开发至关重要，因为它确保了每个代码组件在投入生产之前都经过了检查和修复。”

「Fortify 已成客户软件开发核心」

积极成果

Fortify 的引入使得 15 个业务关键应用程序成功且无缝地被部署，包括开发的代码和开源组件。按照Fortify 流程，100% 的新软件发布都经过了安全验证，并通过了开源应用程序安全基金会（OWASP）前 10 名以及系统管理、审计、网络和安全（SANS）前 25 名标准的认证。

信贷集团发现，通过引入 Fortify 和一项游戏化培训计划，开发人员提高了安全意识，代码漏洞减少了 50%。集团首席信息安全官评论道:

“我们认为在我们的软件生命周期管理中采用‘安全设计’原则是我们网络弹性战略的一个基石。事实证明，Fortify 是贯彻这一原则的理想技术合作伙伴，因为它在漏洞分析的深度、广度和精度，DevOps 集成以及服务模型的灵活性方面表现出色。”

Garofalo总结道：

“信贷集团对 Fortify 增强应用程序开发安全性、消除代码漏洞和遵守 DORA 规定的能力感到满意。Fortify 通过确保每个代码组件在投入生产之前都经过检查和修复，已成为信贷集团所有软件开发的核心。”

关于 OpenText

OpenText 已完成对 Micro Focus 的收购。我们非常期待今后能为客户带来更丰富的产品和服务，为不断增长的数字化需求和智能化工作提供支持。目前，我们拥有 25,000 名专家，能够为服务客户及推动创新提供不竭动力。

Micro Focus 将为 OpenText 带来关键技术，其中包括全新的 AI 与分析、应用开发与交付、应用现代化，以及数字运营管理。这些新技术能够为 OpenText 提供强而有力的支持，巩固其在内容服务、商业网络、数字体验和网络安全领域的市场领先地位。

通过整合两家公司的综合能力，我们能够帮助客户取得信息优势，加快数字化转型历程。整合后的新公司将聚焦未来业务发展，实现以人为本、兼容并蓄的可持续增长。我们还通过整合信息和自动化来加速处理复杂难题，让任何规模的企业都能利用新的数字结构、新的规则，以及新的工作方式实现重塑。许多享誉全球的公司全都仰赖 OpenText，并且十分认可我们在提供智能工作方式方面的专业知识。OpenText 不仅能够发挥信息的强大作用，而且非常重视信息保护，让组织和个人都能发挥出最大潜力。 

（文章来源公众号：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

关于亿道电子

上海亿道电子技术有限公司是国内资深的研发工具软件提供商，公司成立于2009年，面向中国广大的制造业客户提供研发、设计、管理过程中使用的各种软件开发工具，致力于帮助客户提高研发管理效率、缩短产品设计周期，提升产品可靠性。

十多年来，先后与ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立战略合作伙伴关系，并作为他们在中国区的主要分销合作伙伴服务了数千家中国本土客户，为客户提供从芯片级开发工具、EDA设计工具、软件编译以及测试工具、结构设计工具、仿真工具、电气设计工具、以及嵌入式GUI工具等等。亿道电子凭借多年的经验积累，真正的帮助客户实现了让研发更简单、更可靠、更高效的目标。

欢迎关注“亿道电子”公众号

了解更多研发工具软件知识