悬镜安全-CSDN博客

原创悬镜安全率先通过国家工信安全中心SBOM标准认证

首批通过工信安全中心“T/CQAE19004-2025 软件物料清单构成和要求”认证，引领数字供应链透明化治理新风向!

2025-12-12 16:44:27 285

原创供应链投毒预警 | 恶意Py包开展Windows木马远程植入攻击

悬镜安全近日在python仓库捕获1起利用开源组件perfviewer进行远程木马植入的投毒攻击事件，请速排查。

2025-11-24 10:58:05 915

原创喜报|悬镜安全联合北京大学创新研究成果获评2024年度北京市科学技术奖

数字供应链安全防御利器！智能代码疫苗技术获评“2024年度北京市科学技术进步奖”！

2025-11-14 15:42:53 278

原创悬镜安全斩获多项信通院“2025年度OSCAR开源”殊荣

悬镜安全-全球数字供应链安全领航者！

2025-11-11 11:20:43 348

原创影响力！悬镜安全入选《中国网络安全年鉴2025》引领数字供应链安全产业发展

国内率先实现一站式实现AI实时分析检测-AI智能审计验证-一键修复缺陷的智能体化闭环流程的AI安全智能体，不仅能够自动进行全面缺陷检测，还提供详细修复方案和建议，检测精度接近零误报、复杂检测场景进一步覆盖、检测效率更为强大，并依托悬镜供应链监测能力和AI安全大数据云端分析能力，实时动态监测风险情报，全面高效的帮助开发人员消除代码中漏洞风险，为软件信息安全保驾护航。作为首部以宏观经济为背景、以资本与科技为线索，系统记录中国网络安全产业全貌的年鉴，本书不仅是行业资料的汇编，更是一份历史记录。

2025-10-24 21:10:02 497

原创国家级！悬镜安全入选两项“网络安全国家标准应用实践案例”

在对于安全与稳定要求极为严苛的金融领域，中信建投证券与悬镜安全聚焦于GB/T 43848-2024的开源代码安全评价。在电信领域，面对规模庞大、组件来源复杂的数字供应链，中国电信上海研究院联合悬镜安全，以GB/T 43698为规划蓝图，将悬镜先进的供应链安全治理体系与平台工具深度集成，构建起覆盖软件成分分析、第三方组件风险管理、安全准入验证的端到端防护框架。作为数字供应链安全领域的先行者，悬镜安全不仅将自身的技术产品与国家标准紧密对齐，更在某种程度上，通过一线的成功实践反哺和验证了标准的科学性与前瞻性。

2025-10-21 11:52:01 527

原创国家级！悬镜安全入选两项“网络安全国家标准应用实践案例”

悬镜安全将继续作为关键信息基础设施安全建设坚定领航者，通过持续技术突破与深耕，将标准转化为实践，将合规转化为价值，助力更多行业客户在高质量发展的道路上行稳致远。

2025-10-20 15:58:41 515

原创数字供应链安全代表厂商︱悬镜安全领衔安全牛《数字供应链安全技术应用指南（2025版）》

身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过“AI智能代码疫苗”技术深度赋能基于“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系，积极发挥领导者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护全球数字供应链安全。据安全牛观察，当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主，厂商范围相比往年变化不大。

2025-06-13 16:29:34 1113

原创重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒

近日（2025.03.25），悬镜供应链安全情报中心在NPM官方仓库（www.npmjs.com）中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。工具将受影响的组件包按如下示例保存为db.json文件，直接执行扫描命令（opensca-cli -db db.json -path ${project_path}），即可快速获知您的项目是否受到投毒包影响。依赖country-currency-map组件的开源项目。

2025-03-31 09:28:56 767

原创 SBOM风险预警 | 恶意NPM组件开展木马投毒攻击，目标针对国内泛互企业

这些恶意组件会利用代码混淆和沙箱环境识别来进行安全检测对抗，在组件安装过程中会静默执行投毒代码，除了窃取系统敏感信息之外，还负责远程下载或本地释放并执行恶意木马程序。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力，悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析，可为用户智能精准预警“与我有关”的数字供应链安全情报，提供情报查询、情报订阅、可视化关联分析等企业级服务。migu-lib恶意包主页。

2025-03-31 09:27:13 1096

原创三大运营商优秀开源治理实践︱悬镜携手联通软研院入选通信行业开源创新案例

然而，由于未制定相应的开源组件使用规范，存在各个系统开源软件使用不一、复杂多样，开发人员在开发过程中未能关注开源组件的漏洞情况，开源组件安全漏洞反复出现，由开源软件直接或间接引发的故障占比较高。联通软研院基于源鉴SCA的开源治理能力建立了企业级平台，可对各类型采购、自研、软件资产进行梳理和安全审查，进一步在内部建立开源治理组织架构，制定配套的开源治理管理制度和规范，逐步构筑起比较完备的开源风险治理体系，规范开源软件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，进而提升开源治理能力。

2025-03-12 11:01:05 675

原创夫子ASPM重磅升级︱体系化治理软件供应链安全的痛点难题，All in one!

悬镜夫子ASPM通过对外部供应商进行安全评估和管理，引入产品全面的扫描检测，确保供应链各环节的安全性和合规性，通过态势大屏的风险统计、项目资产及其风险漏洞的清单梳理，集成先进的数据分析和报告功能，实现了供应链的全面可视化管理，帮助企业了解供应链的构成和风险，提供有价值的洞察和建议，帮助企业做出科学合理的决策。当SCA的组件风险与SAST的代码漏洞如潮水般涌来，悬镜夫子ASPM通过智能算法，深度聚合SCA、SAST等工具的海量漏洞数据，自动去重关联，彻底告别Excel手工对齐时代；

2025-03-12 10:57:34 1189

原创 SBOM情报预警 | 恶意NPM组件窃取Solana智能合约私钥

投毒代码一旦监控捕获到剪切板中的Solana智能合约私钥，会立即通过 ioredis 模块将私钥数据外传投递到投毒者控制的redis服务器（redis-12193.c259.us-central1-2.gce.redns.redis-cloud.com:12193）。以 serum-anchor-wallet 恶意组件为例，该系列恶意组件将投毒代码经过混淆后嵌入到lib/app.js 代码文件中，并伪装成Solana智能合约SDK。恶意NPM包 serum-anchor-wallet。

2025-02-21 17:26:20 1076

原创软件供应链安全工具推荐 | 软件成分分析工具悬镜安全源鉴SCA，业内排名TOP 1的SCA工具

当前，OpenSCA社区是国内用户量最多、应用场景最广的开源SCA技术（参考中国信通院《中国DevOps & BizDevOps现状调查报告2024》），通过软件码纹分析、依赖分析、特征分析、引用识别、开源许可合规分析及组件投毒分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。可以看作SCA软件成分分析是数字供应链安全开源风险治理中最核心的工具，也是数字供应链安全的管理入口。

2025-02-21 15:17:35 1278

原创供应链风险情报预警 | 恶意NPM包（fix-this）开展反向shell远控投毒

fix-this NPM组件包在3.0.9及之后的版本中 lib/utils/connectionUtils.js 代码文件的 validateSystemResultsV2() 函数被投毒者植入混淆恶意代码，恶意代码主要功能用于执行反向shell远控，针对目前已投放的4个版本恶意包中，涉及到的远控服务器地址及端口如下所示。一旦开发者安装fix-this恶意包时，将自动触发执行validateSystemResultsV2 函数中的反向shell远控代码，导致系统被投毒者远程控制。

2025-02-21 14:12:15 1048

原创 2025年如何挑选静态应用安全测试（SAST）工具？

AI漏洞代码自动修复：灵脉SAST全新接入AI大模型智能算法：通过将用户代码进行分块并构建向量索引、建立用户代码向量库，基于RAG及LLM编排技术，AI大模型对需要修复的漏洞代码进行检索，快速精确地匹配并提供最适合当前代码上下文的修复方案及修复建议。但理想情况下，你的SAST解决方案还应该能够显示每个API中存在的漏洞，让你可以根据API的业务价值来确定待修复漏洞的优先级。此外，如果你的SAST能够发现并盘点源代码中的API，找出未记录的API，那你也可以通过DAST来测试这些未记录的API。

2025-02-21 14:09:38 1225

转载下一代SAST | 灵脉SAST 3.6强势登场，更快、更准、更国际化！

灵脉SAST 3.6携AI增强安全审计助手、后门查杀等功能强势发布，又准又快守护数字供应链代码源头安全。

2024-12-04 12:29:55 253

转载喜报 | 悬镜安全中标海通证券SCA软件成分分析工具采购项目

作为新一代开源数字供应链安全审查与治理平台，源鉴SCA已连续四年市场应用率第一，持续助力金融、泛互联网、通信、能源等行业客户，从引入源头、开发过程、运行监控等维度有效闭环治理开源威胁。标题：

2024-11-18 09:59:53 211

原创供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

上周，悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获2起针对Windows系统的Python包投毒事件。

2024-06-21 17:53:16 998 1

原创供应链投毒预警 | 开源供应链投毒202404月报发布（含投毒案例分析）

2024年4月，悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包

2024-05-16 11:26:25 1268

原创供应链投毒预警：恶意Py包伪装HTTP组件开展CStealer窃密后门攻击

近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。截至目前，恶意。

2024-05-10 15:49:05 1063

原创悬镜安全random：解密供应链安全情报的头号黑客

random被称为“最低调的悬镜头号黑客”。网络攻防对抗从来都是不确定的，“看得清，跟得上，防得住”是做供应链安全情报的重任所在。

2024-04-26 16:10:11 795

原创悬镜安全持续霸榜安全牛《中国网络安全全景图》供应链安全赛道

悬镜强势领跑安全牛《中国网络安全全景图》SCA、IAST、SAST、DevSecOps、应用安全监测（RASP）、开发流程安全管控等9项供应链安全全部细分领域。

2024-04-15 14:39:24 1068

原创镜视界 | DevSecOps CI/CD 管道中数字供应链安全的集成策略

全球趋势洞察：NIST如何将数字供应链安全保证措施集成到 CI/CD 管道中以保护底层活动完整性。

2024-03-28 11:22:13 1145

原创供应链投毒预警 | 开源供应链投毒202402月报发布啦

悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年2月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com）和Pypi官方仓库（https://pypi.org）共捕获503个不同版本的恶意组件包，其中NPM仓库投毒占比89.46%， Pypi仓库投毒占比10.54%，NPM仓库依旧是开源组件包投毒的重灾区。

2024-03-18 18:04:21 1963

原创供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击

上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。

2024-03-18 17:18:50 1325 4

原创供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

Winmail是一款功能丰富的邮件服务器软件，支持 Windows 和 Linux 平台，可适配国产化信创平台，具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。

2024-03-08 15:05:15 1455

原创 SCA 技术进阶系列(五): 揭秘运行时SCA - 新视角下的供应链安全革新

运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖，在应用测试和上线运营场景有着更广泛的应用场景。

2024-03-01 14:19:29 1627

原创 SCA技术进阶系列（四）：DSDX SBOM供应链安全应用实践

SBOM是保护软件供应链的关键部分，也是漏洞匹配和管理的基础。对于企业而言，SBOM是软件供应链治理中很重要的基础数据，能够帮助企业实现依赖治理、漏洞管理和开源许可证合规。SBOM背后靠的是SCA和知识库数据的支撑，想要充分发挥SBOM的作用，应该将生成工具和尽可能多的研发流程打通，做到实时更新SBOM清单，并和全面的知识库订阅数据进行实时动态关联。随着软件消费者会使用到各类供应商提供的软件产品，这些产品通常以二进制的形式交付，相比源码识别的效果覆盖率会更低，存在的风险更难识别。

2023-12-01 16:30:41 1807 1

原创影响力｜子芽首创代码疫苗技术获评“年度技术突破者”

子芽，悬镜安全创始人兼CEO，《DevSecOps敏捷安全》作者，OpenSCA开源社区创始人，DSO和DSS大会执行主席，中国信通院软件供应链安全社区首席专家，腾讯TVP技术专家，ISC互联网安全大会十周年代表性人物，长期从事AI深度学习在应用敏捷安全领域持续威胁评估方向的探索研究，拥有多项原创发明专利授权，并多次承担国家级重大网络安全项目和科研项目。该技术不仅减轻了多探针运维的压力，还在应用中植入了安全的“疫苗”，实现并推动应用与安全的共生。

2023-11-16 15:33:45 245

原创深度解密 | 灵脉SAST 3.0最新特性曝光

灵脉SAST白盒代码审计平台是悬镜自主研发的下一代静态应用安全测试(SAST)解决方案，作为悬镜DevSecOps智适应威胁管理体系中的新型威胁发现平台，灵脉SAST3.0核心引擎运用改进的数据流、控制流分析、符号执行、抽象解释执行等技术，高效精准地检测出代码中的质量缺陷和安全缺陷，帮助开发人员在软件研发早期发现并修复缺陷，真正实现安全左移，降低软件风险及缺陷修复成本，提升企业代码安全治理能力。悬镜灵脉SAST是落地实践安全左移的基石，是敏捷安全工具链中的核心关键环节。

2023-11-10 20:48:29 403