安全守卫 | 悬镜获选信通院软件供应链安全实验室副理事长单位，云鲨RASP入选优秀案例

为更好把握软件供应链的发展趋势，积极应对不断出现的供应链攻击安全治理难题，推动软件供应链安全产业健康发展，中国信息通信研究院（以下简称“中国信通院”）发起成立“软件供应链安全实验室（3S-Lab）”，并于近日召开的2022年首届软件供应链安全论坛暨3S CON上对首批成员单位进行授牌。

悬镜安全凭借在软件供应链安全领域的技术产品实力和落地实践经验，与腾讯、华为等一起获选实验室副理事长单位。会上，悬镜产品云鲨RASP自适应威胁免疫平台入选了“2022安全守卫者计划——软件供应链安全专题优秀案例”。

图1 悬镜安全受到中国信通院的权威认可

随着数字化转型进入深水区，容器、中间件、微服务、DevOps等新技术理念的演进，软件作为数字经济发展的基础，相关产业快速发展，但同时带来软件设计开发复杂度不断提升，软件供应链愈发复杂，全链路安全防护难度不断加大等问题。

近年来，Log4j2.x、SolarWinds等软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁。软件供应链安全直接关系着关键基础设施和重要信息系统安全，保障软件供应链安全成为业界关注焦点，也成为企业共同诉求。

作为DevSecOps敏捷安全领导者，悬镜安全专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御，结合多年的敏捷安全落地实践经验和软件供应链安全研究成果，探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务，通过全流程、一站式软件供应链安全赋能与安全保障，为上千家企业用户提供了软件供应链安全解决方案。

图2 悬镜软件供应链全流程风险治理框架

作为悬镜第三代DevSecOps智适应威胁管理体系中的持续检测响应平台，云鲨RASP自适应威胁免疫平台在此次论坛活动中，通过中国信通院的层层筛选和评比，成功入选“2022安全守卫者计划——软件供应链安全专题优秀案例”。

图3 云鲨RASP被评为软件供应链安全先进技术产品

作为案例的应用单位，中国平安产险和金融行业其他企业一样，正深入推进数字化转型，且面临监管机构的合规要求。所以在当下以开源为主导的软件开发大环境中，它们迫切需要加强开源风险治理，构建安全可信的开源软件供应链。

开源风险治理存在四大痛点：

1. 看不清：无法清楚得知在数字化业务运行过程中动态加载被使用的组件数量和种类。

2. 摸不透：无法清楚得知开源软件中真实可被利用的中高危漏洞的数量。

3. 跟不上：受限于漏洞情报，无法准确确定开源软件漏洞真实影响的范围。

4. 防不住：无法对未知漏洞进行提前的积极防御。

为了彻底解决以上痛点，确保自身业务的安全性，避免造成不可挽回的损失，中国平安产险采用了云鲨RASP自适应威胁免疫平台。

图4 云鲨RASP入选九大优秀案例

云鲨RASP是基于运行时情境感知技术的新一代应用威胁免疫平台，通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式，提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。

图5 RASP工作原理示意图

云鲨RASP还提供IAST以及Runtime-SCA 解决方案，从研发、测试再到生产使用同一探针，通过不同模式即可实现不同场景的用户需求。在研发、测试阶段，云鲨RASP能切换至IAST和SCA模式，通过对软件进行持续的扫描和检测能提供高精度的应用安全测试结果和第三方组件的依赖清单、已知漏洞、许可证等信息，从而生成详细的SBOM（软件物料清单）并保持实时更新。这便解决了前文所提到的“看不清、摸不透、跟不上”问题。

在生产环节，云鲨RASP能切换至RASP模式，帮助软件应用防御诸如0day等重大未知威胁。当应用中的开源组件漏洞动态爆发时，RASP所具备的热补丁功能能对其进行修复。

目前，除金融行业外，云鲨RASP还为泛互联网、车联网、电信运营商、能源电力等行业用户提供了软件供应链安全解决方案，不仅帮助企业实现“安全左移”，从开发源头进行治理，而且在云原生场景下实现“敏捷右移”，保障常态化运营安全，从而打造了一个积极防御体系。

本次获选软件供应链安全实验室副理事长单位，是对悬镜安全在软件供应链安全领域实力的进一步证明。未来，悬镜将继续与中国信通院展开更加紧密的合作，积极参与制定相关标准、参加相关活动论坛，并联合政、产、学、研、用多方力量，推动关键技术创新，在信通院的指导下，与其他成员单位一同推动软件供应链安全、有序、健康发展，推进千行百业数字化转型，助力数字中国建设。

＋

推荐阅读