行业认可| 悬镜安全荣获“可信云技术最佳实践”

近日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的“2021年可信云大会”在北京召开，大会上重磅公布了“可信云技术最佳实践”评选结果。悬镜安全“DevSecOps智适应威胁管理解决方案”凭借其创新技术以及多年落地实践成果，成功斩获2020-2021年度“可信云技术最佳实践 应用安全”奖。

图：悬镜安全荣获2020-2021年度“可信云技术最佳实践 应用安全”类奖项

可信云作为我国云计算领域信任体系唯一的权威评估，至今已成功举办8届云计算行业技术盛宴，是国内云计算产业市场的风向标。2021可信云大会首度公布可信云最佳实践结果，组委会对申报产品的技术创新性、应用性能、服务能力及实践解决方案等方面进行多维度评审及答辩考核，悬镜安全最终通过全部评审标准，斩获该奖项。

悬镜DevSecOps智适应威胁管理解决方案

悬镜安全基于多年来敏捷安全的落地实践经验，探索出了原创专利级的DevSecOps智适应威胁管理解决方案，赋能DevSecOps全流程的安全风险治理。该方案从构筑之初就注重技术落地的柔和低侵入性，从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手，通过对威胁建模、威胁发现、威胁模拟及检测响应等关键技术创新赋能组织现有人员，帮助甲方建立起更加高效、完善的安全开发和安全运营体系。

图：悬镜DevSecOps智适应威胁管理体系

该解决方案通过固化流程、加强不同人员协作，用工具、技术等手段将自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线。本方案覆盖编码阶段、测试阶段、预发布阶段、发布阶段及线上运营阶段，强调自动化与一体化，将安全由CI/CD平台构建的DevOps体系自动推动到整个开发和运营流程之中，实现将安全贯穿从开发到运营整个业务生命周期中的每一个环节，是一种低侵入、高效率、全覆盖的新一代突破性威胁管理解决方案。该解决方案中共包含五大明星级产品，主要包括：

1、夫子DevSecOps全流程安全赋能平台

夫子DevSecOps全流程安全赋能平台可使客户有效弹性对接已有敏捷开发平台工具，统一管理项目及全流程安全漏洞，动态跟踪管理个项目、资产的漏洞情况，实时跟进整个开发测试过程中的漏洞爆发及修复情况，智能分析各开发部门漏洞收敛进度，全面降低漏洞风险，实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

2、源鉴OSS开源威胁管控平台

源鉴OSS基于多源SCA开源应用安全缺陷检测技术，结合悬镜独有应用探针精准识别应用开发过程中，软件开发人员有意或违规引用的开源第三方组件，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。通过智能化数据收集引擎在全球范围内获取开源组件信息及其相关漏洞信息，及时获取开源组件漏洞情报，降低由开源组件带来的安全风险，保障软件安全。

3、灵脉IAST灰盒安全测试平台

灵脉IAST可在有效实现安全检测形成安全众测模式的同时，运用动态污点追踪技术、基于角色的多账户管理、威胁操作指令规避及脏数据清洗机制，不产生脏数据，对客户原有的业务流程不产生影响，此工具的引入将安全左移提前到开发测试阶段，将内部研发测试的使用流量牵引到安全平台工具上，实现漏洞发现与威胁感知能力。同时，灵脉IAST工具积累了悬镜的技术经验，除了支持常规漏洞检出，还支持业务逻辑漏洞检测、第三方开源组件漏洞检测，可对漏洞开展识别并验证。

4、灵脉PTE AI智慧渗透测试平台

灵脉PTE开源从“真实黑客”视角持续动态评估目标组织的安全态势，并大幅度弥补安全人员水平参差不齐和效率低下的问题。灵脉PTE在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统，创造性地将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验，并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策，以贴近实际专家渗透测试的方式，对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程，全方位检验用户现有安全防御措施的有效性，保障用户数字化系统安全。

5、云鲨RASP自适应威胁免疫平台

云鲨RASP通过Webshell深度AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等专利级关键技术，实现RASP与IAST关键技术深度融合，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉防御各种绕过流量监测的攻击方式，提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。RASP能嵌入在应用程序内部，应用代码无感知，更加方便定位漏洞信息，更少的误报和漏报，对各种绕过手法具有更强的防护能力。

2021年已过半，网络安全相关话题热度不减，国内外各政府机构高频出台网络安全相关法案和规定，力图从战略、管理、技术、设备等多维度遏制安全事件频发的现状。悬镜安全专注于以AI为核心的DevSecOps敏捷安全，在实践中洞悉行业发展现状，结合组织实际业务场景对行业需求、技术能力、工具应用等趋势做前瞻性预判。未来，悬镜安全将以持续优化的DevSecOps敏捷安全策略，帮助组织构建满足业务发展需求的敏捷安全体系，以安全赋能业务效能。

关于悬镜安全

悬镜安全，DevSecOps 敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立，致力以 AI 技术赋能敏捷安全，专注于 DevSecOps 软件供应链持续威胁一体化检测防御。核心的 DevSecOps 智适应 威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个 维度的自主创新产品及实战攻防对抗为特色的政企安全服务，为金融、电信、政务、能源、教育等行业用户提 供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网：www.xmirror.cn。