权威报告|悬镜DevSecOps全线产品市场应用率第一
近期,由中国信息通信研究院(以下简称“信通院”)、中国通信标准化协会主办的“2022 首届XOps产业生态峰会”在北京成功举办。在本次论坛上,信通院正式发布了《中国DevOps现状调查报告(2022)》(文末可查看完整报告),悬镜安全DevSecOps全线产品市场应用率统计位列第一。
图1 《中国DevOps现状调查报告(2022)》
IAST灰盒安全测试工具
IAST交互式应用安全测试(Interactive Application Security Testing)是一种新型运行时应用安全测试技术,相较于传统的DAST黑盒安全扫描和SAST白盒代码审计,具有检测精度高、误报率低的优势。经调查,悬镜灵脉IAST以32.18%的占比位列同类工具中市场应用率第一,这是继2021年后连续两年市场领先排名第一。
图2 数据来源:中国信息通信研究院
悬镜灵脉IAST灰盒安全测试平台作为悬镜第三代DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过全场景数据流量学习技术,如运行时动态插桩(含主动及被动)、终端流量代理/VPN、流量管家(主机流量嗅探、旁路流量镜像)、Web日志学习、启发式爬虫等和原创AI渗透启发技术,持续赋能传统IT从业人员,在企业组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成数字化应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖95%以上中高危漏洞,防止应用带病上线。
图3 灵脉IAST主要关键技术
开源风险治理工具
现代软件基本是组装的而非纯自研,开源风险治理已然成为企业安全需求中至关重要的部分。本次调查显示,66.85%的企业关注第三方开源组件库的安全性;代码依赖扫描(SCA)技术实践占比达43.89%。在该类工具市场应用率统计中,悬镜源鉴OSS和其开源版本OpenSCA占比分别为40.55%和40.89%,牢牢占据前两名。
图4 数据来源:中国信息通信研究院
悬镜源鉴OSS开源威胁管控平台作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的风险管控平台,基于多源SCA开源应用安全缺陷检测技术,结合悬镜独有的应用探针技术,精准识别应用开发过程中,软件开发人员引用的第三方开源组件,并通过应用组成分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
作为全球首款开源的企业级SCA技术产品,OpenSCA继承了源鉴OSS领先的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,现已支持Java、JavaScript、PHP、Python、Go等多种主流编程语言和生成SPDX格式的软件物料清单(SBOM),且在陆续推出和迭代更多功能。
软件开发生命周期(SDLC)
安全管理工具
整个软件开发生命周期(SDLC)包含需求、设计、开发、实现、部署、运营等六个关键阶段。当下,DevOps研运一体化的开发模式成为主流,要求持续部署、持续交付。此时,传统的安全方式已无法适用于快速迭代的业务场景,安全左移已成为行业共识,将应用威胁发现前置到需求分析和开发测试环节,将安全活动柔和嵌入企业现有DevOps流程,从应用生命周期源头上前置实现风险治理。本次调查显示,已有63.51%的企业引入了DevSecOps实践。
面向软件全生命周期的安全管理工具如安全开发流程自定义编排、威胁建模管理、漏洞管理、工具链管理等,是企业落地实践DevSecOps/SDL的重要工具。在本次报告相关工具调查中,悬镜夫子CARTA凭借28.71%的市场应用率排名第一。
图5 数据来源:中国信息通信研究院
悬镜夫子CARTA安全开发赋能平台作为悬镜第三代DevSecOps智适应威胁管理体系的全流程攻击面管理平台,不仅聚焦开发早期需求分析、架构设计阶段的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入DevSecOps/SDL全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。
悬镜安全:DevSecOps敏捷安全领导者
悬镜专注DevSecOps软件供应链安全,凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御架构,并通过“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系及配套的敏捷安全闭环产品体系、软件供应链安全组件化服务,已帮助金融、车联网、泛互联网、能源等行业上千家用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
《中国DevOps现状调查报告(2022)》促进全行业DevSecOps演进与变革,助力企业应对在实践DevSecOps时的工具选型难题。
悬镜坚持精益求精,持续保持自身产品在同类工具中的巨大技术领先优势和市场领先优势,并继续探索和深耕各行业最佳实践,为更多用户提供更专业的产品和服务支撑,守护好中国软件供应链安全。
//
调查报告下载限时开放中
关注“悬镜安全”公众号
后台发送:DevOps 即可获取完整报告
+
推荐阅读
关于悬镜安全
悬镜安全,DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以代码疫苗技术为内核,通过原创专利级"全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn