悬镜安全

其他

DSO 2022 | “共生·敏捷·进化”第二届全球DevSecOps敏捷安全大会圆满举行

2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO
2022年12月28日
其他

演讲路透(一) | 第二届 全球DevSecOps敏捷安全大会

演讲主题简介结合数字化转型和网络安全发展趋势,分析现有安全模式存在的问题挑战,云网安融合服务发展趋势和云网安融合关键技术,中国电信在云网安融合方面的工作及服务数字化的探索。
2022年12月16日
其他

共生·敏捷·进化,第二届全球DSO大会强势来袭!

全球DevSecOps敏捷安全大会(DSO
2022年11月18日
其他

悬镜云鲨SaaS三大核心能力 构筑下一代积极防御体系

近年来,随着云计算技术的蓬勃发展,云原生已成为当下的潮流,为企业的IT基础设施、数字化应用架构带来了颠覆性的变革,越来越多的企业将技术和业务全部构建在云上,云原生应用正引领下一个应用时代。从安全的视角来看,云原生安全成为企业最关心的风险敞口之一,云原生应用安全防护面临诸多挑战,DevSecOps作为云原生安全建设的重要部分势在必行。在这样的背景下,作为“代码疫苗技术”核心之一的RASP运行时应用自我保护技术逐渐火热起来,作为一项与应用强关联、强绑定的安全技术,RASP被视为天然适合云原生的最佳解决方案。11月1日,悬镜安全正式上线了云鲨RASP
2022年11月4日
其他

云鲨SaaS正式上线,智能免疫未知威胁

官方入口:https://rasp.xmirror.cn/点击“阅读原文”
2022年11月1日
其他

ISC技术分享:从RASP开启云上应用安全防护

2022)云安全发展峰会上,悬镜安全华东区技术合伙人周幸应主办方的特别邀请,发表了主题为“从RASP开启云上应用安全防护”的演讲。图1
2022年9月30日
其他

XCon 2022 | All in one:基于运行时单探针插桩的代码疫苗技术

one:基于运行时单探针插桩的代码疫苗技术”的深度分享,将运行时插桩的原理和悬镜首创的智能单探针代码疫苗核心技术的实现方式倾情奉上,为现场数百位参会者带来了一场高质量、高纯度的技术风暴。图2
2022年9月23日
其他

硝烟后的茶歇 | 安全内生自免疫力的探索之路

近日,中国信息协会信息安全专业委员会、PCSA安全能力者联盟和踏实实验室在京共同举办了“今年的黎明静悄悄”暨《硝烟后的茶歇》第四期分享会,聚焦今年年度攻防演练表面平静、实则暗潮涌动的新趋势。在此次分享会上,悬镜安全产品经理陈超进行了“安全内生自免疫力的探索之路”主题分享,分析了现代数字化应用面临的风险挑战,引出了以RASP技术为核心的代码疫苗技术及其应用场景,并分享了该项技术防御重大未知漏洞的实战案例。图1
2022年9月23日
其他

RASP技术进阶系列(二):东西向Web流量智能检测防御

当今网络安全攻防较量已进入深水区,纵深防御体系已经成为基础。在HW场景下,关于应用漏洞攻击响应和恶意流量溯源分析的安全工作一直被视作重点,但是在实际事件处理过程中仍存在巨大的技术挑战。RASP技术作为新一代突破性的应用层积极防御技术,可在东西向Web流量自动化检测防御中起到关键作用。1
2022年8月31日
其他

《软件供应链安全治理与运营白皮书(2022)》正式发布

2022年8月1日,由悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书(2022)》于ISC互联网安全大会悬镜出品的“软件供应链安全治理与运营论坛”上正式发布。白皮书重点梳理了软件供应链安全现状和面临的挑战,阐述了软件供应链安全治理体系和开源威胁治理方案,旨在帮助读者加强软件供应链安全意识,丰富治理思路。图1
2022年8月31日
其他

权威报告|悬镜DevSecOps全线产品市场应用率第一

《中国DevOps现状调查报告(2022)》IAST灰盒安全测试工具IAST交互式应用安全测试(Interactive
2022年8月12日
其他

聚焦热点 | ISC 2022软件供应链安全治理与运营论坛圆满落幕

2新发布:开发过程从传统的瀑布式到敏捷再到DevOps研运一体化;3新技术:数字化应用架构从早期的单体应用到SOA(Service-Oriented
2022年8月3日
自由知乎 自由微博
其他

实至名归 | 悬镜安全强势引领《嘶吼2022网络安全产业图谱》11大细分领域

近日,嘶吼安全产业研究院联合国家网络安全产业园区(通州园)正式发布《嘶吼2022网络安全产业图谱》。悬镜安全凭借原创专利级代码疫苗技术,覆盖DevSecOps敏态安全、软件供应链安全、云原生安全三大应用场景的第三代DevSecOps智适应威胁管理体系,DevSecOps闭环产品体系,专业的安全服务水平以及广泛的品牌影响力等一系列优势,在开发安全细分方向中一枝独秀,并强势引领DevSecOps、开发安全生命周期、软件组件安全分析与监测等11大细分领域。
2022年8月3日
其他

积极防御体系进阶:《DevSecOps敏捷安全》

上市不到一个月时间,由悬镜安全创始人兼CEO、OpenSCA开源社区创始人子芽撰写,10位学术界和企业界权威安全专家联袂推荐的《DevSecOps敏捷安全》,登顶京东、当当【新书热卖榜】双榜TOP1。子芽新书《DevSecOps敏捷安全》作为网络安全产业的热门赛道,DevSecOps近年来已然成为云原生时代下企业组织在软件安全开发和软件供应链安全领域关注的重点。这部DevSecOps软件供应链安全领域的专业著作,在业内首次体系化论述DevSecOps敏捷安全的实战性著作,为企业应对软件开发方式敏态化与软件供应链开源化带来的安全挑战提供了解决之道,它能有效指导企业快速将安全要素完整嵌入整个DevOps研运一体化体系,在保证研发效能的同时又能够实现敏捷安全内生和自成长,凭借着体系创新、注重实战、全球视野、前瞻性强等特点,一经出版就广泛吸引业界目光。
2022年8月3日
其他

演讲实录 | 子芽于新书发布会发表“DevSecOps敏捷安全体系浅谈”主题演讲

企业关于软件供应链安全治理与保障的相关需求越来越迫切。借这次机会分享一下悬镜的DevSecOps软件供应链全流程风险治理框架,其在一定程度上整合了悬镜的软件供应链安全技术及配套服务。
2022年8月1日
其他

悬镜安全强势领衔“CCIA成长之星”榜单

近期,中国网络安全产业联盟(CCIA)正式发布由数说安全提供研究支持的“2022年中国网安产业成长之星”(以下简称“CCIA成长之星”)评选结果。悬镜安全凭借行业领先的技术研发和创新实力、身为赛道领航者的品牌影响力、规模化的产品服务交付能力,强势领衔“CCIA成长之星”榜单。图1
2022年7月27日
其他

应信通院特邀,悬镜凌云于软件供应链安全论坛发表主题演讲

Orion软件2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序能利用SolarWinds的数字证书绕过验证,将与攻击者的通信伪装成Orion
2022年7月27日
其他

悬镜安全荣膺DevSecOps创新赛道领航者,获选年度创新力十强

近日,由国内数字化产业第三方调研与咨询机构数世咨询、CIO时代联合举办的“第二届数字安全大会线上启动会”成功举行。大会重磅推出数字安全十三大创新赛道及其领航者。悬镜安全作为DevSecOps敏捷安全领导者,凭借在所处赛道多年沉淀的技术研究与创新应用成果、赢得的荣誉资质以及形成的良好品牌效应与市场口碑,荣膺DevSecOps创新赛道领航者,并同时获选年度创新力十强。图1
2022年7月15日
其他

子芽做客《安全说》:洞察DevSecOps发展新态势,探秘领航者背后的故事

近期,悬镜安全创始人&CEO子芽应“第二届数字安全大会”特别邀请,做客由数世咨询、CIO时代以及新基建创新研究院联手打造的全线对话访谈节目《安全说》直播间,与数世咨询创始人&CEO李少鹏和CIO时代联合创始人&COO刘晶,就DevSecOps的现状、发展以及关键技术演进进行了深度交流和探讨。图1
2022年7月15日
其他

悬镜安全获选信通院云原生安全实验室首批成员单位,全栈产品入选《云原生产品目录》

在近期由中国信息通信研究院(以下简称“中国信通院”)召开的2022云原生产业大会上,凭借在云原生安全尤其是在云原生应用安全、云原生研发运营安全方面全面的技术产品实力和丰富的落地实践经验,悬镜安全获选中国信通院云原生安全实验室首批成员单位,旗下的DevSecOps全栈产品入选首个《云原生产品目录》,并被特邀与中国信通院、腾讯云、小佑科技等八家机构或企业联合打造国内首个云原生安全测试平台。图1
2022年7月1日
其他

悬镜安全在RSAC2022上斩获Global InfoSec Awards四项大奖

Awards”系列奖项。“我们在全球范围内寻找网络安全创新者,他们可以带来巨大的改变,并有可能帮助扭转网络犯罪呈指数级增长的趋势。”CDM的编辑Yan
2022年7月1日
其他

悬镜安全携手OpenChain,共同守护中国软件供应链安全

近日,OpenChain官方宣布,悬镜安全正式成为OpenChain项目会员。悬镜安全今后将与谷歌、微软、Meta等其他全球性企业一同,全方位支持开源许可证合规领域的“OpenChain
2022年7月1日
其他

安全守卫 | 悬镜获选信通院软件供应链安全实验室副理事长单位,云鲨RASP入选优秀案例

为更好把握软件供应链的发展趋势,积极应对不断出现的供应链攻击安全治理难题,推动软件供应链安全产业健康发展,中国信息通信研究院(以下简称“中国信通院”)发起成立“软件供应链安全实验室(3S-Lab)”,并于近日召开的2022年首届软件供应链安全论坛暨3S
2022年6月24日
其他

直播回顾 | 子芽&CCF TF:云原生场景下软件供应链风险治理技术浅谈

TF第61期交流活动,主题为开发安全与软件供应链安全,特别邀请悬镜安全创始人&CEO子芽发表演讲。子芽凭借自身对行业的敏锐洞察以及悬镜在相关领域的技术创新和实践经验,与CCF
2022年6月24日
其他

开源可信|悬镜获选中国信通院“可信开源合规计划”首批正式成员单位

近期,由中国信息通信研究院、中国通信标准化协会主办的“2022
2022年6月16日
其他

荣誉蝉联 | “悬镜软件供应链安全解决方案”荣获“鑫智奖”双料大奖

近日,由金科创新社主办、全球金融专业人士协会支持的“鑫智奖·第四届金融数据智能优秀解决方案评选”结果正式公布。“悬镜软件供应链安全解决方案”凭借独特的创新性和技术的先进性,通过54位行业专家历经4个月的评审,从近百个参赛方案中脱颖而出,荣获“网络影响力TOP10优秀解决方案”和“网络信息安全创新优秀解决方案”双料大奖。这是继去年DevSecOps智适应威胁管理解决方案斩获双奖后【捷报频传
2022年6月16日
其他

直播回顾 | ISC直击RSAC2022·悬镜DevSecOps专题对话

全球网络安全行业的盛会RSAC2022刚刚落幕,不过关于大会创新沙盒比赛以及相关议题的讨论依旧火热。ISC互联网安全大会特别策划了直击RSAC2022专题报道系列栏目,并邀请悬镜安全创始人&CEO子芽参与DevSecOps专题云端讨论并解密创新沙盒冠军为何花落Talon公司。一同参与分享真知灼见的还有中兴通讯开源合规&安全治理总监项曙明、平安壹钱包DevSecOps负责人汪永辉以及担任主持人的数世咨询合伙人&高级分析师刘宸宇。图1
2022年6月16日
其他

直播回顾 | 积极防御体系下BAS技术创新探索

近日,第十届互联网安全大会(ISC2022)打造的网络安全行业万人元宇宙峰会拉开序幕,同步上线十大元宇宙数字安全论坛。悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”,技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS(入侵与攻击模拟)技术的创新和应用。以下为演讲实录:【演讲实录】点击播放→积极防御体系下BAS技术创新探索RSAC2018大会正式提出黄金管道(Golden
2022年6月9日
其他

实至名归 | OpenSCA成为开源中国GVP-Gitee最有价值开源项目

GVP(Gitee最有价值开源项目)是开源中国(OSCHINA)旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台,素有“国产GitHub”之称,吸引了超过800万的开发者,托管项目超过2000万,汇聚几乎所有本土原创开源项目,而目前被评为GVP的项目仅有377个(截至本文发稿前)。OpenSCA是唯一入选GVP的SCA(软件成分分析)工具。图1
2022年6月9日
其他

RASP技术进阶系列(一):与WAF的“相爱相杀”

WAF缺失了从宏观上对流量的监控,对于例如CC攻击、爬虫、恶意扫描等攻击行为缺少有效的防御手段。另外,RASP由于和运行时环境耦合,在实际应用时,会更关注性能和兼容性影响:01
2022年5月31日
其他

直播回顾 | 车企环境下SDL开发安全建设实践

汽车行业不断加快数字化转型进程,在促进业务增长与升级的同时,使得企业不得不直面与正视更加严厉的合规监管要求、更加严峻的应用安全现状、更加迫切的信息安全诉求。这样的形势使得软件安全不再能仅靠安全产品或检测工具保证,而需要更加彻底更加坚决的解决方案。悬镜安全技术合伙人李浩做客AutoCS
2022年5月31日
其他

内生安全免疫,代码疫苗关键技术剖析

游耀东:中国电信基于开源治理的PaaS组件安全体系建设5.
2022年5月26日
其他

IDC Innovator | 悬镜安全入选IDC DevSecOps技术创新者

悬镜安全强势引领《2022年中国网络安全市场全景图》开发安全领域5.
2022年5月26日
其他

权威认证闭环 | 国内首家DevSecOps体系全栈产品通过CWE国际兼容性认证

悬镜安全强势引领《2022年中国网络安全市场全景图》开发安全领域5.
2022年5月19日
其他

腾讯专访 | 子芽:代码疫苗技术,赋能数字化应用内生安全自免疫

“DevSecOps市占率持续领先,IAST探针覆盖率十倍增长,代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽透露道。这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者,子芽是这家企业的创始人。图1:悬镜安全创始人&CEO
2022年5月12日
其他

实力认可 | 入选首批中国信通院“网络安全能力评价工作组”成员单位

中国信息通信研究院(以下简称“中国信通院”)日前正式公布了第一批“网络安全能力评价工作组”260个成员单位。悬镜安全入选体系研究子工作组、标准研制子工作组和示范推进子工作组,并将在国内外网络安全能力评价体系和方法研究、推进网络安全能力评价标准系统构建、能力评价成果示范推进平台搭建等方面发挥自身优势,为国家网络安全产业高质量健康发展贡献力量。中国信通院此次牵头成立网络安全能力评价工作组(以下简称“工作组”),是在工业和信息化部网络安全管理局的指导之下,旨在深入贯彻习近平总书记关于发展网络安全产业的重要指示精神,落实《中华人民共和国网络安全法》《中华人民共和国国民经济和社会发展第十四个五年计划和2035远景目标纲要》部署要求,构建网络安全能力科学评价体系,引领网络安全技术产品高质量发展,推动形成人才培养、技术创新、产业发展良性生态。工作组将开展网络安全能力评价体系和方法论研究,推进网络安全能力评价标准体系构建完善,组织开展网络安全技术、产品、服务、解决方案等能力评价,促进先进成果应用示范。以安全企业为创新主体、以重点行业需求为牵引,推动供给质量高、需求释放足的网络安全产业结构优化。悬镜安全在体系研究方面,将保持对全球范围内的网络安全产品服务创新类别、前沿技术创新方向、新兴应用场景和应用模式等的持续关注和深究;标准研制方面,将继续积极主导或参与DevSecOps敏捷安全、开源治理、主动防御、安全运营等细分类别网络安全产品、服务等能力评价标准的制定,如《应用软件成分安全检测分析系统评价方法》《全生命周期安全开发管控系统评价方法》等;示范推进方面,将基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的悬镜第三代DevSecOps智适应威胁管理体系,与金融电商、泛互联网、车联网、电信运营商、能源电力等行业标杆用户在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下,一同打造各行业闭环的解决办法和形成卓越案例集,并进行市场化推广宣传,实现细分领域一体化供应链建立。作为专注于DevSecOps软件供应链持续威胁一体化检测防御的安全厂商,悬镜安全目前已帮助上千家企业用户构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。随着在DevSecOps领域的持续深耕,悬镜已成为该赛道领航者和关键技术开拓者,肩负着如何更好指引软件供应链安全和DevSecOps行业的未来关键技术演进的重任,未来也将基于此对国家网络安全产业建设乃至信创产业发展献策献力,与业内同仁、生态伙伴等一同筑牢国家“十四五”规划的网络安全基石。
2022年5月12日
其他

专家有料 | 游耀东:中国电信基于开源治理的PaaS组件安全体系建设

在CIS2021网络安全创新大会,由悬镜安全创始人兼CEO子芽出品的DevSecOps应用与技术专场上,中国电信上海研究院安全专家游耀东分享了中国电信对旗下PaaS进行开源治理的实践经验,以下为演讲实录:演讲实录我演讲的主题是“基于开源治理的PaaS组件安全体系建设”,主要是分享中国电信在自有的天翼云PaaS平台上进行开源风险治理工作的经验。我们PaaS的组件清单,主要包括自研和开源两个方面,其中自研部分指的是内部各个团队开发的一些自主可控的工具,但是总而言之只有一个特点,就是涉及的所有软件百分百使用了开源组件。这令我们一开始便遇到一些问题:1.
2022年5月12日
其他

专家有料 | 李中文:美团软件成分安全分析(SCA)能力的建设与演进

Materials,软件物料单)清单,然后通过风险数据去匹配有没有存在风险的组件被引用。目前市面上比较出色的商业产品有Synopsys的Blackduck、Snyk的SCA、HP的Fortify
2022年4月28日
其他

实至名归 | 悬镜安全强势引领《2022年中国网络安全市场全景图》开发安全领域

近日,网络安全垂直领域智库平台“数说安全”正式发布了《2022年中国网络安全市场全景图》(以下简称“全景图”)。悬镜安全凭借独创的覆盖敏捷安全、软件供应链安全、云原生安全等新兴应用场景的第三代DevSecOps智适应威胁管理体系,强势引领开发安全、应用安全测试(AST)、运行时应用程序自保护(RASP)等七大细分领域。凭借悬镜夫子安全开发赋能平台,位居开发安全领域第一。凭借悬镜灵脉IAST灰盒安全测试平台,位居应用安全测试(AST)领域第一。在商业化层面,凭借悬镜云鲨RASP自适应威胁免疫平台,位居运行时应用程序自保护(RASP)领域第一。本次全景图结果以国家权威机构与行业主管部门颁发的产品和服务资质作为主要考量标准,参考国家质量监督检验检疫总局、国家标准化管理委员会发布的18项国家标准和公安部发布的27项行业标准,通过对产品、解决方案、应用场景、安全服务4个维度做进一步细分和梳理后最终统计得出,其权威性得到了全行业的高度认可。悬镜安全此次连续多领域强势霸榜数说安全全景图,进一步证明了悬镜在自身专注领域的头部地位,表明悬镜的创新技术、产品服务均得到业界权威安全专家的一致认可。这既得益于由悬镜沉淀多年的“代码核酸检测”“代码疫苗”等核心技术构筑起的行业技术领先优势,也归功于悬镜用户——我们的“超级产品经理”对悬镜产品的持续支持和有价值的需求建议。作为DevSecOps敏捷安全领导者,悬镜安全拥有三大核心优势:1.
2022年4月28日
其他

持续引领 | 悬镜获评“2022网信自主创新尖锋企业”

2022年4月19日,由网信自主创新调研报告编委会主办的“第五届关键信息基础设施自主安全创新论坛”在京顺利召开,会上正式发布了由悬镜安全在内的150多家企业历时近7个月编写完成的《2021网信自主创新调研报告》(以下简称《报告》)。同时,主办方还公布了一批具有突出创新能力、取得显著创新成果、能够代表创新水平的“网信自主创新尖锋企业”。悬镜安全凭借原创专利级“代码疫苗技术”以及旗下云鲨RASP自适应威胁免疫平台,获评“云计算安全领域”自主创新尖锋企业。在《报告》编写期间,作为DevSecOps敏捷安全领导者,悬镜安全结合多年积累的DevSecOps前沿技术理论以及敏捷安全落地实践经验,独立完成DevSecOps相关内容的编写工作,收到了来自编委会的感谢信。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调了网信自主创新的重要性,他表示,要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。正如《报告》所言,近年来,网信技术高速发展,网信产业不断壮大,无论是技术、产品、解决方案还是相关的服务,都有了较大的进展。2021年是“十四五”的开篇之年,在数字经济建设中,网信产业自然而然担当了排头兵角色。毫无疑问,坚持自主创新是完成十四五规划的关键。悬镜安全自成立以来,始终专注于技术创新应用,至今已沉淀出28项涉及原创“代码疫苗技术”的专利级核心技术和智能算法,并结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,已帮助数百家企业构筑起了内生积极防御体系。作为国家高新技术企业、北京市专精特新企业、中关村高新技术企业,悬镜积极投身信创工作,推动安全产品与服务器操作系统、中间件等适配,获得多个兼容性互认证书,并不断打造完善的网络安全信创生态圈。未来,悬镜会坚持自主创新,不断突破关键技术,并继续发挥代码疫苗技术等核心技术优势,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的解决方案,助力“十四五”数字经济建设和信创产业发展。+推荐阅读1.
2022年4月22日
其他

直播回放 | 周幸:开源治理实践如何实现自动化和智能化落地

“网安强中强”2022(第二届)数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀,于4月19日做客直播间,以“开源治理实践如何实现自动化和智能化落地”为主题,分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案,在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。1开源安全背景和现状首先,众所周知,现在的企业正大量使用开源组件。从最初的瀑布式开发模式到敏捷开发模式,再到DevOps,开发模式的转变使得软件迭代和发布的速度变得越来越快。在这个过程中,除了自研代码,还引入了大量的开源组件。Gartner的报告显示,99%的企业在研发过程中都使用了开源组件。其次,开源安全漏洞频发。比如去年的Log4j2事件和今年的Spring事件,这些主流的开源组件或框架,这些年来爆发漏洞的频率是越来越高,而且波及的范围也是越来越大。国家互联网应急中心的报告也显示,近六年来整个开源组件生态的漏洞数在逐年增加。第三,开源组件一般会带有开源协议,所以会存在开源知识产权的风险。去年在国内就发生了几起关于开源组件和开源软件的知识产权纠纷事件。目前国家越来越重视自主创新和自主研发能力,强调自主知识产权。第四,开源相关法律和政策相继出台。去年,开源首次被列入国家“十四五”规划和2035年远景目标纲要。在金融行业,五部门联合发文,出台了《关于规范金融业开源技术应用与发展的意见》。可以陆续看到在国家层面,在垂直行业内部,开始慢慢强调开源治理的规范性。在这样的安全背景下,我把目前面临的安全现状总结为“四个不”。第一个是“理不清”。企业不清楚在系统中使用了多少开源软件和开源组件。目前很多企业的现状是,在每一次快速迭代和快速发布过程中,都会引入一部分开源组件或者开源软件,但是由于团队多、涉及的业务范围广,导致无法清楚地知道具体使用了哪些。第二个是“看不见”。企业在使用开源组件和开源软件的过程中,不知道它们中有的已产生过安全漏洞和知识产权风险。根据我的经验,很多企业用了一些非常老的组件和软件,之前爆发过很多安全漏洞,但没有及时去更新,所以对于这些已知漏洞的风险隐患,企业无法获悉。第三个是“找不到”。企业在开源组件和开源软件出现漏洞的时候,无法快速地定位受影响的组件以及评估影响的范围。以去年的Log4j2事件和今年的Spring事件为例,当出现漏洞的时候,大部分人的第一反应往往是希望能够快速地找到受影响的组件,第二步才是设法进行治理。第四个是“治不了”。当企业明确漏洞影响的范围以及受影响的组件并定位到具体项目,这时就需要进行相关治理工作,对组件进行相应的评估和修复。很多企业相对比较缺少这一方面的专业安全知识。2开源治理痛点在进行开源治理之前一定要知道有哪些痛点,根据这些痛点再相应地建设开源治理体系。先给大家介绍下开源治理“三要素”。无论是应用开发安全还是整个安全体系的建设,都有三个非常重要的环节:工具、人和流程制度体系。在整个建设过程中,我认为是可以以开源安全治理工具为基础,通过人员赋能,最后去推进整个流程制度体系的建设。为什么以开源治理安全工具为抓手?如果一上来就推进文化或者流程制度的建设,很难在短时间内得到想要的成果,因为如果缺少相应的自动化工具去寻找问题和解决问题,成果很难度量。所以我建议以开源治理安全工具为基础,在开源治理的各个阶段和各个流程进行自动化和智能化的检测。在工具的基础上,要对相应人员和组织进行培训和文化赋能,比如对高危协议的讲解,对高危“0day”漏洞的及时分析培训,提高大家对开源安全的认识。最后,在以工具为抓手和人员赋能的情况下,推进整个流程和制度的建设,最终完成整个开源治理体系的建设。接下来给大家介绍一下开源治理的三个风险点。首先最重要的是组件。要清楚地知道组件的依赖关系并且进行影响分析。当漏洞爆发的时候,优先去定位组件,明确哪些部门或者哪些项目使用了这些组件,再去根据部门或者项目找到受影响的软件产品并进行修复。其次是漏洞。不是所有漏洞都要去修复,从安全治理平衡的角度来说,应该更加关注那些对业务影响比较大的或者是危害比较大的漏洞,所以要对漏洞进行影响分析和定级。比如当出现“核弹”级别的如Log4j2漏洞的时候,是要及时修复的,因为受影响的面很大而且它的利用难度相对较低。第三是许可证。近几年一直有关于GPL协议的知识产权纠纷。随着大家慢慢重视知识产权以及相关法律部门的介入,对组件的知识产权进行风险解析包括对其许可证协议进行分析变得越来越重要。接着介绍开源治理的阶段流程。任何一个流程引入,它都应该是紧紧贴合目前已有的流程基础,为什么?开源治理的四个阶段流程,分别是引入、使用、运营和停止,与软件开发生命周期中的需求设计、编码、测试、发布上线运营是不是有类似之处?具体谈谈这四个阶段流程:首先,什么是引入呢?企业自有的研发人员或者第三方供应商,在使用组件的过程中,无论从外部渠道引入还是从本地私服库引入,都属于引入流程。其次,使用流程包含了编码阶段、持续集成和持续部署的阶段。第三,运营流程。上线后对漏洞的预警和对漏洞的及时处理都属于运营环节。第四,停止流程。当组件爆发漏洞的时候,定位这些组件,想办法进行及时的停止并同时更新,就属于停止流程。所以整个开源治理的阶段流程与软件开发生命周期是可以在某些阶段进行融合的,后面我也会讲到如何进行结合。3开源治理方案在以上这些认知基础之上,接下来要展开整个开源治理的方案。第一部分是组件分析,对应三个风险点中的第一个点。组件分析需要支持开发阶段、CI/CD阶段以及测试阶段,全流程对开源组件的检测,梳理并管控开源组件的信息,并从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系。为什么?一个简单的道理是,当漏洞出现,尤其是“0day”漏洞爆发,大家在第一瞬间的反应是什么?是要定位,要清楚地知道哪些部门、哪些项目组、哪些APP受影响。在此基础上,才会针对性地寻找适合的防护手段,选择是从网络层、主机层还是从应用层去做阻断和防护。基于多维度的依赖关系分析,通过自动化和智能化的工具去协助企业形成SBOM清单,从而在追溯的过程中,能够快速地定位受影响的组件。第二部分是漏洞分析。漏洞的来源非常多,但是一般会要求漏洞信息兼容OWASP
2022年4月22日
其他

专家有料 | 张祖优:腾讯云DevSecOps实践与开源治理探索

近日,CIS2021网络安全创新大会DevSecOps应用与技术专场在上海成功举办。本次专场由DevSecOps敏捷安全领导者——悬镜安全的创始人兼CEO子芽出品,聚焦DevSecOps的技术发展和应用实践。会上,多位专家结合自身研究或业务进行了主题演讲和圆桌论坛,精彩纷呈。其中,腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优分享了腾讯云在DevSecOps以及开源治理方面的实践经验,以下为演讲实录:【演讲实录】这次我演讲的主题是“腾讯云过往的DevSecOps实践”。先做一个简单的自我介绍,我现在是在腾讯安全云鼎实验室,做云安全以及负责腾讯云产品的安全保障工作。首先分享一下腾讯云安全工作的挑战。互联网公司与传统公司比如金融公司有个很大的区别点是,整体的基础设施和研发体系不统一,不同部门、不同中心的研发体系都是不一样的,而且腾讯内部有很多DevOps平台或者代码分析平台。此外,腾讯云上有300多种一类产品,细分到二类或是子级的产品数量会更多。所以我们在做整个业务线或者事业群的产品安全时,挑战都是比较大的,比较难落地。设想一下,安全需要落于研发和运维体系之中,如果研发和运维体系不够统一,那么安全自然是比较难落地的,所以对于整个腾讯云产品安全体系的建设,我们在思考到底以哪种方式去做。在比较早期的时候,我们采取的是漏洞防御体系,更多是从漏洞收敛的角度,主要以人工的漏洞挖掘为主,这种方式虽然快并且效果明显,在早期可能比较适用,但是后期会发现,这种方式其实是有疏漏的,所以我们现在采用的更多是全生命周期的收敛方式。下图是我们基于风险引入流程梳理的体系图,分为风险引入、风险发现与防护、响应处置和闭环改进四个维度,基本涵盖了产品安全各个维度能进行的活动。基于风险引入流程进行收敛在整体的建设过程中,我们分了4个阶段。因为可能跟传统厂商一样,我们更需要做到反入侵,所以在第零阶段,我们做的是边界管控,针对一些对外开放的资产,比如外网IP、域名等。在随后的第一阶段,就是从无到有地补齐安全能力与安全活动。第二阶段是追求精细化运营。在我们内部,产品的形态有好几种,包括第三方引入的、OEM的以及合作研发的,此外还会涉及线上的产品包括私有化交付产品。这几种类型的产品,关注点是不一样的,比如线上产品,大家可能更关注它有没有实际的会导致入侵或者导致服务器被控制的漏洞风险;而OEM或者合作研发的产品,它的研发阶段可能不在企业内部,所以采用的是一种安全准入的机制;像私有化的产品,比如腾讯云私有化产品,其实不影响腾讯自身安全,因为是交付给客户的,但安全问题影响产品口碑。所以在这个阶段我们更多是采取精细化运营,就是针对不同的产品安全场景去建设不同体系。到了第三阶段,我们更多希望的是提高效率,提高业务团队在安全方面的参与度,提高安全的度量,所以在这个阶段,我们的重点就是实践DevSecOps。为什么要实践DevSecOps?这可能大家都理解,安全左移的目的其实就是因为整个漏洞的收敛,在越左阶段的处理成本会越低。过去为人熟知的是微软SDL那套机制,如今DevSecOps为什么这么火?是因为DevSecOps与SDL相比有个较大的差别:在SDL中,很多时候是安全兜底,安全永远在研发运维之外,但是DevSecOps更多强调的是,安全治理决策不仅仅归安全团队负责,开发、运维甚至QA,都是安全治理的角色之一,它要求人人为安全负责,把安全嵌入到开发流程体系中。对安全的要求不同,原因在于研发运维模式的变更,而安全是要适配自身的研发运维模式的。腾讯云之所以落地DevSecOps,是因为在腾讯内部,腾讯云也是比较早实践DevOps的业务线,那么从安全的维度上就需要跟进DevSecOps。DevOps模式讲究的是诸如最小模块化这样的技术,这在传统模式下可能是没有的。举个例子,腾讯会议还是一个内部应用时,它的安全保障就是我们做的了。后来腾讯会议被广泛使用,260天迭代了29个版本,对于这种迭代速度如果我们还用过去传统的安全模式去做安全建设,肯定跟不上,即便当时我们专门成立了一个项目组去保障它的安全。所以我们需要一个新的安全模式也就是DevSecOps。我认为SDL和DevSecOps两者之间不存在很大的冲突,并不是一个取代的关系,只是各自适配不同场景。相较于SDL模式,DevSecOps讲究的是更多自动化的融入、敏捷的迭代。而且通过每年的RSAC会议讨论主题可以看出,DevSecOps本身是一个在不断发展的安全框架,它并不是一成不变的。DevSecOps分成了10个阶段,其中第6个阶段原来叫configure配置,现在叫prevent预防。它本身就是一个在不断完善的理论,所以每个公司对DevSecOps的使用是不一样的,要与自身的研发运维体系适配。我们在对腾讯云过去的安全活动进行梳理,可以发现过去做的很多安全活动是在Ops(运维)阶段,比如经常做的黑盒测试,在上线前做得相对少一点。所以我们选择实践DevSecOps体系是基于之前梳理总结的结果,需要在开发阶段补充更多活动。DevSecOps的核心是流程、技术和文化,最难的是文化。整个体系落地的关键点主要有四个:最底层的是工具链的建设;第二个是核心的自动化测试能力,比如IAST、SCA的能力;第三个是基于CI/CD流水线的安全嵌入;最后需要关注一些新的关键技术,比如容器安全、API安全。实际在建立DevSecOps体系时,我们分了两个阶段。第一个阶段是腾讯云内部多平台的阶段,DevOps平台和代码分析平台都是不统一的。我们于是采用了一种方式,就是把安全能力向多平台适配,把各种安全工具封装到多个DevOps平台,而在一些统一的平台比如Git仓库,我们会做主动扫描。然后通过统一的数据上报来统计和确认业务的覆盖度,并通过统一的安全运营平台来实现安全问题的告警、度量等工作。到了第二个阶段,腾讯云内部的产业事业群成立了一个技术委员会,统一了DevOps平台,于是安全体系的落地也转变了方向,我们把安全能力落实到这个统一平台的功能里面。这个统一的DevOps平台包含几个不同阶段的功能,所以我们要基于不同的功能去分析有哪些对应的安全能力可以在功能里直接嵌入,其中当前比较成熟的是开发、测试还有制品管理这三个阶段。本地开发阶段主要基于DevOps平台的本地流水线,通过ECI去落实;代码分析阶段,我们主要嵌入了SAST代码成分分析、SCA以及敏感信息检查;自动化测试阶段主要包含黑盒DAST以及IAST,关于IAST,除了依靠内部能力,也在试用悬镜的灵脉IAST;制品管理阶段需要比较多的能力,如容器镜像扫描、二进制文件分析、病毒木马检测等。为什么在这里我们要做工具的封装,很重要的一点是原来用的很多安全工具在现有DevOps流水线上不一定适用,比如有一些过去自己研发的安全引擎,放在流水线上让业务同学去执行,却要执行十几个小时,这对于业务团队来说是无法接受的。所以原来的工具并不是拿过来就可以直接用,要涉及封装。还有本地流水线的检查和线上流水线的检查,规则的复杂度不一样,本地相对简单一点,线上可能复杂一点,但是也要考虑时间的因素。而针对一些我们当前没有能力触及的方面,更多会采用商业化采购的方式快速补充。代码分析阶段,刚才讲到的是三项能力,SAST、SCA以及敏感信息检查,主要是在本地和CI/CD两个场景下去嵌入的。自动化扫描工具SAST是直接嵌入的。自动化测试阶段涉及DAST,主要是通过测试环境的流量转发的方式,刚才悬镜安全的子芽也介绍了,准确来讲这是广义的IAST。我们过去在这方面做得比较多,就是通过流量转发的方式去实现上线前的扫描。另外关于IAST,我们主要是在测试环境中去集成和测试。在制品安全这个阶段,我们平台有一个制品库能力,可以直接在制品库里集成安全检查,也就是说所有的DevOps流程中产生的制品会统一放在制品库中,而制品库的所有制品默认都要进行安全检查和安全提示。不过目前还做不到拦截下载,这是下一步要完善的,我们会在CD的过程中加一个能力来针对识别出安全问题的制品,拦截它,不允许它使用。在更早的威胁建模阶段,我们采用的是半自动化方式,通过问卷加自动化的API调用这种多模式的结合来实现半自动化。针对大部分的产品,我们是让业务自己填自动化评估过程问卷,然后由系统进行一个自动化的判断,判断是否合理以及识别哪些点是有风险的。针对一些重点产品,比如腾讯会议,可能还会涉及人工审核,在新功能上线前,以人工评估的方式为主。安全编码规范这部分,是基于公司整体编码规范的检查来做的。我们其实有两个版本的安全编码规范,其中一个版本是腾讯开源出来的基于开发语言的,之前还有一个版本是基于漏洞维度的。我们也在尝试框架安全或者默认安全,比如在治理SSRF(服务器端请求伪造)漏洞的时候,我们尝试做一站式的SDK(软件开发工具包),让业务在接入时不用考虑太多研发问题。还有在DevOps平台中,我们考虑加入安全视图。这种安全试图可以让业务人员一站式地看到安全相关情况以及接入情况。因为业务太多,每个业务的DevOps成熟度以及研发运维的流程都不一样,没法用统一的标准去要求,所以我们对DevSecOps统一的流程要求和标准做了个分级,分为1到4级。统一的要求是1级,针对一些DevOps成熟度高的业务,比如腾讯会议,级别要求会更高。也会涉及建设度量,分为两部分,一部分是对业务安全的度量,比如度量产品是否安全,另一部分是对DevSecOps实践效果的度量。针对后者,主要有三个维度,一个是能力建设,一个是运营推广,最后一个是效果。在这么多的发现工作之后,还涉及风险收敛。风险收敛是有区分的,因为它跟整体的安全度量是绑定的。我们在内部推行一个叫安全信誉积分的指标,这对业务的威慑力比较大,因为假如某个团队分数小于80分,是要求团队的领导者去解释的。因为要鼓励业务尽量在上线前发现问题,所以安全信誉积分的度量会在上线后,并且会进行一个度量惩罚的机制,但是在上线前不会纳入。这就会有收敛的差别,比如上线前的一些流水线,我们更多是通过门禁去拦截,主动扫描相关部分就不纳入到度量机制里,通过风险处置平台去推动。线上的常规性扫描可能会纳入安全工单去跟进。还有Nday和0day漏洞是不可预期的,我们也不会纳入。最后谈谈开源治理。我觉得在互联网公司做开源治理挺难的,原因就是我们没法像其他公司那样从入到出全流程去管控,尤其在入的阶段能做的事太少了,因为像腾讯这种公司,供应商、合作方的数量太多,根本没法去管理,所以我们在使用阶段和管理维护阶段做的事情比较多,这里做个分享。这是我们之前关于log4j2事件响应的流程。log4j2事件响应流程第一阶段是情报的获取,我们建立了一个漏洞情报的监测机制。第二阶段是情报的研判。并不是所有情报都会获得高规格的响应,我们会研判出漏洞的影响程度尤其是对腾讯的影响,比如对于有些组件,腾讯没有用到这个技术栈,就没必要响应。在影响清查阶段,我们做得比较多,采用了几种方式,首先是上线WAF的防护规则,其次采用三种方式,一种是SCA,通过代码层面去识别具体哪部分使用了Log4j2;另外一种是通过PoC的方式,测试哪些暴露在外网的业务是实际上存在漏洞的;第三种,通过HIDS去识别主机层面的log4j2的Java包。针对一些重点产品,我们会做人工的排查。在整体的收敛优先级上,以外网的漏洞为第一优先级,通过SCA和HIDS识别出来的漏洞次之。
2022年4月15日
其他

动态 | 悬镜安全研发管理体系通过CMMI3国际认证

近日,经过CMMI权威认证机构的严格审核和评估,悬镜安全研发管理体系顺利通过CMMI3国际权威认证,进一步验证了公司在前沿安全技术创新研究、大型软件敏捷研发迭代、产品服务高质量规模化应用等方面均具备国际化领先水平。CMMI:软件领域国际市场的“通行证”CMMI(Capability
2022年4月15日
其他

强势领衔 | 《中国网络安全行业全景图(第九版)》最新发布,悬镜安全强势引领七大领域

为了帮助甲方用户更好地了解网络安全产业发展全景特征,对我国网络安全厂商及其产品能力有更加真实、全面、客观的展现,业界知名媒体安全牛智库专家团历时3个月,深入调研了500余家安全厂商(服务商),涉及近4000项产品(方案),于2022年3月31日,正式发布《中国网络安全行业全景图(第九版)》(以下简称“全景图”)。悬镜安全凭借DevSecOps智适应威胁管理体系以及覆盖应用全生命周期的敏捷安全产品,强势引领七大细分领域,分别是软件供应链安全中安全开发流程管控、DevSecOps、交互式安全测试、静态安全测试、动态安全测试、软件成分分析以及业务与应用安全中的web应用防护领域。凭借第三代悬镜DevSecOps智适应威胁管理体系,位居DevSecOps领域第一凭借悬镜夫子SDL安全开发赋能平台,位居开发流程安全管控第一凭借悬镜灵脉IAST灰盒安全测试平台,位居交互式安全测试领域第一连续多领域强势霸榜安全牛全景图,见证悬镜安全通过多年的诸如“代码疫苗技术”的技术创新沉淀,构筑了巨大的行业技术领先优势,体现了业界权威安全专家对悬镜安全的高度认可,同时,这也离不开甲方用户对悬镜的持续支持。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适应威胁管理体系,帮助用户更好更高效地构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系,并持续升级在华北、华东、华南、华中、西南、港澳等地区的规模化产品服务交付和运营能力,深度覆盖金融电商、能源电力、智能制造、电信运营商及泛互联网等企业级安全市场。悬镜第三代DevSecOps智适应威胁管理体系+推荐阅读1.
2022年4月1日
其他

人物 | 悬镜安全宁戈:高山流水遇知音,湖畔筑梦中国心

2022年3月22日,悬镜安全宣布完成B轮融资。三年前,悬镜的CEO子芽,这位未名湖畔的筑梦人,接受了安在的采访,那时的悬镜刚刚完成产品由十年磨一剑的前沿技术研究到商业化落地的打磨实践阶段。作为公司战略层面的决策者,子芽对安在的记者说,三年内,要完成创业之初的所有主要设想,要通过更加优越的产品体验服务和更加接近用户的本地化技术支持,更好地帮助用户建立健全的DevSecOps内生积极防御体系。现在,三年之期已到,子芽当初的设想已经一一实现。从PreA轮的红杉独家领投、A轮腾讯产业生态投资的战略投资,到近期B轮融资又有两家全球的顶尖资本加持以及红杉的再次跟投,如今的悬镜已经成为在DevSecOps领域拥有头部地位的一线安全厂商。悬镜能够在短短三年内完成B轮融资,离不开自身对技术的精益求精、对产品的精雕细琢,也离不开那些长期沉浸于技术创新研究的合伙人大佬,尤其是悬镜内部公认的“大神”,子芽敬仰的师兄——悬镜CTO宁戈。走一条不同寻常的路十年前,如果让计算机专业的同学选择未来的求职方向,绝大部分都会毫不犹豫地选择开发。但是对于宁戈而言,相对于开发,他更愿意走一条艰难且充满挑战的路——开发安全。这种不愿随波逐流的态度也是他选择悬镜的原因之一。在北大读研期间,宁戈与师弟子芽在同一个实验室钻研二进制安全。那时的子芽就已经准备创业了,宁戈听他谈了很多关于创业之后的预期和打算。宁戈毕业后进入了中国信息安全测评中心(以下简称“国测”),但他渐渐意识到,相比于在国测的按部就班,自己更希望加入一家初创公司去感受创业带来的压力和激励,这能使他更快速地提升。因此,为了进一步提高自身能力,也为了展现自己的全部价值,宁戈选择加入悬镜,与子芽一起创业。在其他人看来,宁戈与子芽是高山流水遇知音,很多子芽画出去的“饼”都是宁戈和其他技术合伙人一点一点帮他完成的。这种合作的基础在大学实验室里就已经形成,那时他们的分工便不同,子芽负责制定产品创新方向和团队管理,宁戈带头负责前沿新技术突破和人才技术赋能。到了悬镜,他们仍继续沿用这一合作体系,让悬镜能够快速茁壮成长。当然也有过摩擦,宁戈表示,很多时候产生的分歧,都会交由最终的实践效果以及用户的态度去解决,如果没有测试的条件,那么往往都会听子芽的。“没办法,他是CEO嘛!”宁戈打趣道。任何一家初创公司都会遇到这样那样的难题,悬镜也不例外。宁戈表示,创业初期悬镜专注于运行时插桩技术研究,在网络安全人才本就缺少的环境下,人手不够,一人承担多个工作任务是悬镜的常态。在人员不足的情况下,对一些关键技术的突破就显得更加重要。另一方面,考虑到市场大环境,悬镜创立早期一直没有决心将核心技术商业化。当时国内国外并没有明确的DevSecOps概念,悬镜最初只是想提升深度扫描漏洞的能力和自动化程度,鉴于当时的黑盒测试工具都有很多明显的缺点。此时,他们在北大的学习研究成果派上了用场,子芽、宁戈等师兄弟将在研究生学习期间钻研出的运行时插桩技术与黑盒技术深度结合,研发出了悬镜的第一款商业化产品,也是明星产品之一的灵脉IAST灰盒安全测试平台。早先,在DevSecOps的概念刚开始在国际上被提出的时候,宁戈就敏锐地意识到,原来悬镜正在摸索的路与DevSecOps出奇的一致。不过一开始,作为一个全新的概念,DevSecOps在国内的认可度、厂商的接受度等方面还是一个未知数,这让宁戈对此产生过怀疑。谁解伯牙意,唯有钟子期。让宁戈打消顾虑、坚持这条路的还是子芽。在多次的深入讨论中,子芽与宁戈对DevSecOps的前景和未来产生了高度的默契和共鸣,他们坚信DevSecOps和软件供应链安全是一个巨大的市场,悬镜钻研的代码疫苗技术就是这个赛道的未来,可以为社会提供巨大的创新价值。最初,大多数软件开发模式都是瀑布式开发,遵循预先制定的计划按部就班地完成。这种方式自由度较低,难以根据实际需求进行调整。后来,随着互联网行业的逐渐兴起,DevOps研发运维一体化成为主要手段,这种将一个又一个小型功能区块以模块化的方式组合的开发模式让DevSecOps市场拥有了很大的增长潜力。悬镜整个团队对这个判断深信不疑。脚踏实地的探索方向确立之后,悬镜还面临一个情况就是团队过于学术化。作为悬镜的“大神”,宁戈表示,悬镜的每一位工程师都具备精益求精的“学究”气,也正是因为这样的气质,尽管让悬镜早期商业化的步子走得极慢,但每一步都踏踏实实。行稳方能致远,这与子芽三年前接受专访时的观点一致。宁戈带领团队在接下来的日子里,针对产品开始夜以继日地测试、升级,一做就是七年。在这七年中,他们已经记不清构建了多少场景,哪怕在自动化漏洞渗透的检出率和误报率方面都提升到了97.7%,他们也并不满足。PreA轮融资完成后,悬镜合伙人团队内部多次讨论,这个大赛道后续将异常竞争激烈,需要加大前瞻性布局从而进一步提升领先的竞争门槛。此刻的宁戈异常淡定,主要原因还是产品。宁戈表示,最开始,悬镜的步子虽然迈得很慢,产品不多,但整个悬镜都在不断突破代码疫苗的最关键技术,可以做到足够的专注,产品体验可以快速迭代到极致。悬镜产品的核心是技术,宁戈表示,他们的技术是比较扎实的,产品核心参数优秀,其他性能指标和检出率等方面都足够吸引人。比如悬镜安全旗下明星产品之一灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过新一代全场景实时数据流情景分析技术,如运行时应用插桩(含动态污点追踪及交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术赋能传统IT从业人员,在甲方用户的组织内部快速建立安全众测模式,使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,运行时动态监测开源风险,可以非常精准覆盖95%以上中高危漏洞,有效防止应用带病上线。宁戈自始至终对于产品的商业化以及悬镜的未来并没有太多担心,一方面是有子芽的存在,另一方面是他认为,只要好产品被认可,能让耳熟能详的公司使用就足以证明悬镜的实力。这次B轮融资后,宁戈的压力更大了。一方面是悬镜正在将DevSecOps整个体系的工具和平台推向市场,产品线延伸了。另一方面的压力来自于悬镜搭建的开源社区——OpenSCA社区。悬镜将旗下企业级SCA技术开源,通过社区与企业技术人员、大众开发者进行技术分享和交流,用开源的方式做开源风险治理,让悬镜多年沉淀的SCA技术能力高效赋能给更多行业用户。“所以动力也更足了。”宁戈期待道。悬镜CTO宁戈出席2021年全球首款企业级OpenSCA技术开源发布会圆桌论坛回首往昔,更进一步回忆从创业到今天的变化,宁戈表示,当初的悬镜包括他在内,站在业务和用户视角看待问题是很大的挑战。宁戈坦诚自己更专注于技术钻研,不过他很快意识到“用户才是我们的超级产品经理”。宁戈将用户驱动的产品及技术迭代理念应用在实践中,并因此受益良多。现在,宁戈对于产品迭代和升级的灵感大多都是从用户处获取的。在与用户的交流中,宁戈将悬镜从“向内认知”带向了“向外成长”。随着悬镜的快速发展,宁戈表示,这几年团队最大的变化就是人员多了。随着员工的不断增加,如何提升自己的管理能力、如何将每一位员工放在合适的位置上等都是他着手要面对的挑战。另一方面,相比早期产品在用户场景的精雕细琢,对每一位用户的需求他都能很好地洞察和把控,现在,悬镜的用户数是之前的数十倍,与用户保持共同成长的节奏以及快速的响应与交付都让宁戈承受很大的压力。对此,宁戈表示要进一步提升团队管理能力,结合自动化工具,将自身和团队的效率提升到更高水平。纵有千般变化,却有一样始终如一,那就是悬镜的文化。悬镜的每一位员工都本着解决问题的态度。同事之间关系简单,配合默契。无论是社招还是应届,在悬镜这个大环境中,大家都比较纯粹。宁戈认为,这样的企业文化使大家都能够专注于自己应该做的事,让整个悬镜稳步有序地快速发展。三年前,子芽对安在说,悬镜未来要成为一家有技术、有干货的公司。如今三年过去了,悬镜已然完成了B轮数亿元人民币的融资,不仅让PreA轮领投方红杉继续加持,还收获了源码资本、GGV纪源资本等全球顶尖资本的大力支持。除此之外,悬镜还联合中国信息通信研究院发布了中国首个《软件供应链安全白皮书(2021)》;成功斩获“Next-Gen
2022年3月28日
其他

IAST技术进阶系列(四):DevOps流水线敏捷实践

数字经济时代,企业的数字化转型已经成为企业发展的重要驱动力之一。无论是传统行业还是互联网数字化转型的内生需求,都需要研发运营模式向敏捷交付一体化发展,即从传统的瀑布式开发到敏捷开发,再演进到当下热门的DevOps研运一体化。图1
2022年3月24日
其他

DevSecOps头部厂商「悬镜安全」 获评北京市“专精特新”企业

近日,北京市经济和信息化局公布了北京市2022年度“专精特新”中小企业名单。北京安普诺信息技术有限公司(以下称“悬镜安全”)凭借在DevSecOps领域的专注与自主创新,以及在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用安全场景下的技术特色优势,成功入选。悬镜安全于2014年在北京成立,深耕DevSecOps领域,凭借多年技术创新应用的沉淀,现已成长为该领域的领跑者。公司始终坚守“明镜高悬,止黑守白”的信念,以守护软件供应链安全为己任,专注DevSecOps软件供应链持续威胁一体化检测防御,帮助金融电商、能源通信、智能制造、泛互联网等众多行业标杆用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。DevSecOps是网络安全的新兴重要发展方向。不难发现,应用开发体系在演进,从传统的瀑布式开发到敏捷开发再到DevOps研发运维一体化;应用架构在演进,从大型系统到SOA(面向服务架构)再到微服务;应用开发形式在演进,从闭源到混源再到以开源为核心驱动;还有基础设施在云原生化。在保护现代应用开发安全的过程中,为了应对这些变化,需要提出新的安全框架即DevSecOps,从而让安全“左移”和“右移”,帮助企业大幅降低业务安全成本和风险。悬镜安全结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代悬镜DevSecOps智适应威胁管理体系,主要覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,在适配DevOps敏捷开发模式、应对软件供应链威胁、检验现有安全体系防御能力、赋能云原生安全等方面都卓有成效。“开展补链强链专项行动,加快解决‘卡脖子’难题”,是发展“专精特新”中小企业的重中之重。“专”,即专业化与专项技术;“精”,即产品的精致性、工艺技术的精深性和企业的精细化管理;“特”,即产品或服务的独特性与特色化;“新”,即自主创新。悬镜安全专注于细分赛道,为了使核心安全技术不受制于人,不断革新诸如代码疫苗技术等自身技术,并且持续打磨产品从而赢得高市场占有率。悬镜也一直努力以创新的技术驱动方案和产品更深地跟随国家整体战略,更好地走向世界,在DevSecOps领域为国发声,输出我们国家自己的技术标准。未来,悬镜安全将继续专注于中国软件供应链安全关键技术的创新研发,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适应威胁管理体系,帮助用户更好更快速地适应云原生技术普及,做好内生敏捷安全。+推荐阅读1.
2022年3月24日
其他

守护中国软件供应链安全,「悬镜安全」完成B轮数亿元融资

2022年3月22日,DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资,本轮融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持,元启资本担任本轮独家财务顾问。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适应威胁管理体系,持续升级在华北、华东、华南、华中、西南、港澳等地区的规模化产品服务交付和运营能力,深度覆盖金融电商、能源电力、智能制造、电信运营商及泛互联网等企业级安全市场。本轮领投方源码资本合伙人黄云刚表示:“DevSecOps是云原生大背景下安全敏捷化的必然趋势。以威胁管理为中心,整合多种工具链,DevSecOps体系能够帮助企业把安全贯穿于开发到运营的软件全生命周期中,必将成为企业数字基础设施的重要组成部分。我们非常看好悬镜安全在DevSecOps领域的技术前瞻性,悬镜的产品也已经获得了多个行业重要客户的认可。期待悬镜能在IT基础设施加速云化、安全环境日趋复杂的未来为客户创造巨大价值。”本轮跟投方GGV纪源资本管理合伙人李宏玮表示:“随着数字化和智能化的深入,软件和应用程序不断加快迭代周期和上线速度,敏捷开发和开源也被广泛应用。在软件的生命周期中,修复漏洞的成本随着发现阶段的进程呈几何级增长,目前缺乏有效的产品在代码开发阶段和上线前做出高效检测。悬镜的产品正是为此打造,且已经在大量头部客户中积累了良好的口碑。GGV看好这支年轻团队,并将长期支持公司发展。”PreA轮独家领投方红杉中国董事总经理翟佳表示:“将安全嵌入
2022年3月22日