- 博客(153)
- 资源 (1)
- 问答 (1)
- 收藏
- 关注
RSS订阅
原创 2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践
DevSecOps 是一种融合了开发(Dev)、安全(Sec)和运维(Ops)的集成方法论,旨在通过将安全实践融入软件开发和部署的整个生命周期,提高软件系统的安全性、可靠性和效率。这种模式强调安全左移(Shift Left)、持续自动化和人人参与安全,以尽早发现并修复安全问题,从而降低成本,并通过CI/CD将安全检测集成到研发流水线中,实现自动反馈和跟踪。
2025-02-06 17:34:39
1567
原创 SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击
根据NPM官方接口统计,近一个月该pino系列恶意包的总下载量接近7000次。如下图所示,投毒者通过篡改包模块入口文件pino.js,利用require引入恶意模块'./lib/write',对应恶意代码文件'./lib/write.js',并且在对pino()函数进行劫持,在函数入口处优先调用恶意模块./lib/write.js中的writer()函数。以router-parse 恶意包为例,投毒者通过对日志库pino进行完整项目代码克隆,组件包主模块入口为pino.js代码文件。
2025-06-06 16:49:14
699
原创 2025软件供应链安全最佳实践︱证券DevSecOps下供应链与开源治理实践
本项目通过将SAST(静态应用安全测试)、SCA(软件成分分析)、IAST(交互式应用安全测试)能力无缝嵌入到DevOps全流程中,同时经过ASOC平台自动化编排及统一管理,实现全生命周期漏洞闭环管理,研发和测试人员在完成应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖95%以上的中高危漏洞,包括各种复杂的Web漏洞、第三方开源组件漏洞及业务逻辑漏洞等,高效实现应用上线前的安全审查,防止应用带病上线,从而有效避免了应用发布后因漏洞风险造成业务中断等直接经济损失。
2025-06-04 16:03:09
1040
原创 2025软件供应链安全最佳实践|互联网行业软件供应链安全建设的SCA纵深实践方案
SCA技术已成为数字供应链开源治理的关键入口,悬镜安全始终坚持以技术创新为核心引擎,作为悬镜第四代DevSecOps数字供应链安全管理体系中开源治理环节的数字供应链安全审查与治理平台,源鉴SCA是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。使用开源制品库中的开源组件时,开源组件使用部门要向开源制品库维护部门申请使用,待审批通过后,从开源制品库统一拉取开源组件;
2025-06-04 14:53:24
556
原创 2025一文软件供应链安全现在、未来趋势和最佳治理实践
OpenSCA社区的开源项目起源于悬镜安全商业版源鉴SCA,是国内用户量最多、应用场景最广的开源SCA技术(中国信通院《中国DevOps现状调查报告2023》),通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。不同的开源组件带有特定的许可证要求,且涉及到海外出口,若未正确遵守,可能导致法律纠纷或商业损失。
2025-05-30 17:47:32
892
原创 最佳实践|互联网行业软件供应链安全建设的SCA纵深实践方案
SCA技术已成为数字供应链开源治理的关键入口,悬镜安全始终坚持以技术创新为核心引擎,作为悬镜第四代DevSecOps数字供应链安全管理体系中开源治理环节的数字供应链安全审查与治理平台,源鉴SCA是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。使用开源制品库中的开源组件时,开源组件使用部门要向开源制品库维护部门申请使用,待审批通过后,从开源制品库统一拉取开源组件;
2025-05-30 17:43:34
758
原创 2025年 SCA(软件成分分析)技术理念、市场前景及趋势
SCA(Software Composition Analysis)是一种用于识别、管理和审计软件中第三方组件(尤其是开源组件)的技术,聚焦于组件依赖关系、已知漏洞和许可证合规性,保障软件供应链安全。通过扫描代码库、二进制文件或运行时环境,识别直接及间接引用的开源组件(如Npm、Maven包),构建SBOM(软件物料清单)。运行时风险治理:强化运行时SCA(RASP),动态监控组件加载行为(源鉴SCA的运行时探针技术)。多维度检测:支持源码(SAST)、二进制(IAST)、运行时(RASP)全场景检测。
2025-05-26 10:07:30
731
原创 SAST国标分析︱灵脉AI深度兼容GB/T 34943/34944-2017源代码漏洞测试规范
悬镜敏捷安全工具链作为第四代DevSecOps数字供应链安全体系中的重要能力支撑,将不断提供更智能、更可信的创新供应链安全产品服务,持续守护中国数字供应链安全。2017年11月1日,国家质量监督检验检疫总局和国家标准化管理委员会联合发布了《GB/T 34943-2017 C/C++ 语言源代码漏洞测试规范》和《GB/T 34944-2017 Java 语言源代码漏洞测试规范》标准。包含源代码漏洞测试的测试目的、测试过程、测试管理、测试工具、测试文档以及测试内容。赋能研发测试等人员,以邮件等形式推送通知。
2025-05-26 10:04:58
825
原创 2025开源风险治理最佳实践︱新能源汽车车企开源风险治理案例
供应链风险预警 源鉴SCA的漏洞信息兼容OWASP TOP10、国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)及CWE标准,结合在云端的“悬镜大脑”监控众多供应链情报,包括但不限于漏洞、组件、许可证,通过清洗、匹配、关联等一系列自动化数据分析处理后,向源鉴SCA及时推送供应链风险情报,并关联用户已有的组件、软件包、应用资产,让用户及时获取影响资产安全的最新供应链风险情报,开展治理工作。简化了复杂的许可证管理和组件追踪过程,有效提升该车企整体处置效率、减少运营成本。
2025-05-20 11:04:42
745
原创 2025软件供应链安全案例推荐︱一文详解金融行业的开源治理方案
进一步在内部建立开源治理组织架构,制定配套的开源治理管理制度和规范,逐步构筑起比较完备的开源风险治理体系,规范开源软件的引入、使用、治理、退出等全生命周期流程,做到全流程安全可控,进而提升了软件供应链安全治理能力。此外,源鉴SCA通过实时获取各来源开源威胁情报数据,及时更新、同步自身知识库数据,构建专业精准的漏洞知识库,通过清洗、匹配、关联、分析等方法,自动关联用户软件的开源组件信息,并通过邮件、站内信、微信、Webhook等方式通知相关负责人,帮助用户及时掌握最新的开源组件漏洞情报及风险影响范围。
2025-05-20 10:58:35
831
原创 供应链安全检测系列技术规范介绍之一|软件成分分析
软件成分分析系统能够分析软件成分,形成软件物料清单,检测软件许可合规问题,发现开源组件漏洞情况,降低由软件成分带来的安全和合规风险,提升供应链整体安全防护水平。软件成分分析系统已成为保障关键信息基础设施、重要网络和信息系统软件供应链安全的重要工具。为验证《软件成分分析系统技术规范》内容的科学性、合理性和可用性,等保中心对第一批软件成分分析系统进行了检测评估,通过软件成分分析系统检测评估工作,衡量了各种软件成分分析系统的检测能力,规范了软件成分分析系统的检测功能,提升了软件成分分析系统的整体安全技术能力。
2025-05-16 15:34:06
527
原创 2025 自动代码审计工具灵脉 SAST 的应用实践
今天我们主要讨论的是SAST静态代码检测,它主要以应用源代码或编译中间文件为检测对象,第二,以程序分析技术为基础并作延伸扩展,第三,SAST静态代码检测技术的一大特点是覆盖面会更广,SAST能够覆盖到代码的每一个角落,包括那些在动态测试中可能不会被执行到的代码路径。在实际应用过程中,在整个研发阶段,静态代码检测可以用到从开发测试到部署上线阶段,具体覆盖比如编码阶段,开发者可以在编写代码的同时使用SAST工具,实时检测潜在的安全问题;例如,配置文件中的安全性检测或者寻找代码中潜在的空口令问题。
2025-05-16 14:37:43
1328
原创 2025AI代码审查工具全景解析:2025年测试开发工程师必掌握的八大神器
Gartner 2025年报告指出,全球89%的企业将AI代码审查工具深度集成至CI/CD流水线,未掌握这些工具的测试工程师将面临淘汰危机。本文将解析八大工具的技术内核与行业趋势,助你成为人机协作时代的“质量仲裁者”。AI漏洞代码自动修复(智能提供修复方案和修复建议,减少开发人员修复代码时间至少80%,修复后代码准确度至少可达到90%以上。人才需求:BOSS直聘数据显示,AI代码审查专家岗位量同比增长320%,供需比达1:8。审查范围扩展:从代码质量到AI生成逻辑的合规性(如大模型提示注入检测)
2025-05-16 14:34:15
560
原创 AI代码审计工具推荐︱AI+SAST 破解传统代码审计难题,AI助力开发效率提升
每种编程语言和框架具有不同的语法、语义和结构特性,灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架,支持跨语言、跨框架的缺陷检测,无论开发团队使用何种技术栈,均能根据语言特性调整分析方法,确保准确识别安全缺陷和质量缺陷。在供应链攻击中,攻击者常将后门伪装成合法监控行为。传统的开发安全工具依赖于预定义的规则或模板来识别代码中的缺陷,但这些方法在处理复杂的代码上下文时,会产生较高的误报率或漏报问题。
2025-05-16 14:32:13
906
原创 悬镜引领2025安在新榜网络安全产品“大众点评”百强榜及全景图,覆盖软件供应链安全领域
2025《中国网络安全产品用户调查报告》通过近3个月对全国企业用户进行专项调查,获得了来自企业企业用户的有效调查样本3754份,覆盖了全国除港澳台、 西藏以外的31个省市及⾃治区及15个主要行业,涉及187个网络安全细分赛道,作为“安在新榜”年度报告之一,有着网络安全“大众点评”之誉的此份报告,给中国网络安全用户“画像”,反馈“甲方”眼里中国网络安全市场概况,重点挖掘用户痛点,展示用户采购及使用网络安全产品服务时的选择依据、实际体验、评价反馈和满意度,为网络安全行业提供来自用户视角的理解参考。
2025-05-15 14:32:05
717
原创 悬镜安全连续五年引领《中国网络安全行业全景图》软件供应链安全赛道
作为数字供应链安全开拓者与引领者,悬镜安全技术创新能力与产品应用能力一直以来受到业界的高度关注和广泛认可,多次获评Gartner SCA技术代表厂商、IDC 中国DevSecOps Innovator(技术创新者代表)以及Forrester SCA、SAST技术代表厂商,并连续多年领跑Foreester、IDC、Gartner、FreeBuf、数说安全、安全牛、数世咨询、嘶吼产业研究院等业内权威咨询机构和安全媒体发布的网络安全行业全景图,持续引领供应链安全和开发安全等领域。
2025-05-15 14:28:02
366
原创 专栏特辑丨悬镜浅谈开源风险治理之SBOM与SCA
受感染的开源组件在软件中未被修复的每一分钟都会增加潜在被利用的风险,SBOM 有助于企业在漏洞披露的早期对漏洞进行识别,通过提供受感染开源组件和依赖项的准确位置,为企业在风险分析、漏洞管理和补救过程中节省数百小时至数月的时间。SCA可以生成完整的SBOM,分析开发人员所使用的各种源码、模块、框架和库,以识别和清点开源软件的组件及其构成和依赖关系,并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题,把这些安全风险排除在软件的发布上线之前,也适用于软件运行中的诊断分析。SCA分为静态和动态两种模式。
2025-05-13 09:20:31
780
原创 【第四批】运行时应用程序自我保护(RASP)工具能力通过评估名单
中国信息通信研究院云计算与大数据研究所自2019年,以安全开发为切入点,开展研发运营安全相关研究工作,截至目前为止,由中国信息通信研究院牵头,联合金融、运营商、互联网、安全等行业众多国内知名企业及单位,共同编制了研发运营安全平台和工具系列标准,具体可拆分为研发运营安全平台(DevSecOps)、静态应用程序安全测试(SAST)工具、交互式应用程序安全测试(IAST)工具和运行时应用程序自我保护(RASP)工具四大部分。截至目前,已有3家企业通过运行时应用程序自我保护(RASP)工具能力评估,名单如下。
2025-05-12 11:54:46
213
原创 41家企业113款“AI+网络安全”产品能力图谱”:悬镜安全全面覆盖软件供应链安全领域
自3月24日启动以来,已有41家企业113款“AI+网络安全”产品接入“写境”,覆盖范围已陆续涵盖安全运营(态势感知、SIEM/SOC)、安全检测(静态安全测试、模糊测试)等方向,“写境”图谱将根据企业产品不断研发持续更新。卓越示范中心积极顺应AI与网络安全深度融合趋势,秉持“接入一家、绘制一家”的工作原则,科学搭建“写境“初始框架,高效跟踪“AI+网络安全” 产品接入动态,逐步推进“AI+网络安全”产品“写境”地图绘制工作。运营(安全运营中心(SEIM/SOC)、态势感知系统)
2025-05-12 11:02:54
668
原创 国家级认可 | 悬镜入选“十大优秀网络安全创新成果”
AI智能代码疫苗技术基于插桩实现,统一融合了IAST(交互式应用安全测试)、SCA(软件成分分析)、RASP(运行时应用自保护)等能力,凭借智能情境感知的单探针解决应用长期面临的组件漏洞、敏感数据泄漏、运行异常、0Day攻击等风险,实现数字应用在开发、供应、使用三大供应链环节与安全的共生,数字供应链全流程可视、可控、可追溯的安全闭环,构建自主可控的智能化供应链安全管理体系,从源头解决数字供应链安全问题。在数字经济时代,软件供应链的安全已成为国际关注的焦点。悬镜安全荣膺“2024优秀网络安全创新成果”
2025-05-09 17:13:59
397
原创 技术分享丨RASP将代码疫苗技术“注入”到业务应用中
之所以如此,是因为RASP可以增强WAF防护工具的安全能力,形成纵深防御的安全防护体系。悬镜云鲨RASP兼容性强、覆盖面广,可广泛应用于包括但不仅限于政府、教育、医疗、金融、能源、电商、泛互联网、汽车制造等行业的DevSecOps敏捷安全体系建设,并结合悬镜原创基于运行时情境感知的DevSecOps持续威胁管理技术,从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁,帮助企业逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的积极防御体系。
2025-05-07 10:42:12
1249
原创 基于DevSecOps敏捷框架的数字供应链安全应解决方案
基于DevSecOps敏捷框架的数字供应链安全应解决方案是以“AI智能代码疫苗技术”深度赋能原创专利级“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系,在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下,保障企业用户数字供应链安全风险的高效治理。综上所述,本方案构建了全链条、全方位的数字供应链安全管理体系,实现了对软件从源头到应用的全过程安全管理和控制。
2025-05-06 16:50:17
728
原创 SBOM风险预警 | 恶意Py组件pretty-cli-logger开展远程代码投毒攻击
投毒者在 pretty-cli-logger 组件1.1.1和1.1.2两个版本代码文件 colors.py 中植入混淆代码, 一旦安装该组件则会静默触发执行恶意代码,主要功能是将组件包中内置的第一阶段和第二阶段混淆恶意代码解压还原后执行,第二阶段恶意代码进一步判断操作系统类型(Windows及Mac)并从投毒者服务器拉取执行针对不同类型系统投放的第三阶段攻击代码。第一阶段混淆恶意代码还原后如下所示,主要功能是将内嵌的base64编码的第二阶段恶意代码释放到系统临时目录下保存并执行。
2025-04-30 17:28:03
810
原创 2025 软件供应链安全工具推荐 ︱IAST工具如何赋能企业开发安全?
灵脉IAST灰盒安全测试平台是全球代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均领先、具备探针技术领先和实践成熟度的IAST产品,具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。在这个环境中,IAST主要是以工具方式接入,补充上线前的安全措施,并将安全前置,弥补公司前面没有做的安全测试覆盖。
2025-04-30 15:39:28
1061
原创 信创产业贡献︱悬镜安全深度参编《2024网信自主创新调研报告》
悬镜安全基于多年来在数字供应链安全领域深耕的技术沉淀和实践经验,立足自主创新领域基础设施和安全保障场景的纵深发展,从软件应用服务全生命周期的安全能力建设入手,分析开发阶段、修复阶段、管理阶段的现状和问题,提出了建设性的对策建议,为《报告》相关章节的内容编写提供专业支撑,以研带用、以用促研,积极助力国家网信自主创新事业的发展。未来,悬镜安全将矢志不渝地践行 “4.19” 重要讲话精神,踔厉奋发、笃定前行,持续守护中国数字供应链安全,不断在网络强国与数字中国建设进程中贡献力量,增砖添瓦。
2025-04-29 09:46:08
1109
原创 2025 前沿技术分享︱基于代码疫苗技术的开源软件供应链安全治理
应用技术的变革带来风险面的变化,从以往单一的Web通用漏洞风险变为涵盖API安全、业务逻辑安全、合规风险、容器环境镜像风险以及开源组件风险在内的多维度攻击面,倒逼安全解决方案升级以应对新应用场景下的安全挑战。代码疫苗技术是一种新型的应用内探针技术,统一融合了IAST、SCA、RASP、DAR、API、APM等安全能力,凭借一个探针解决应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险,减轻多探针运维压力的同时,为应用植入“疫苗”,实现应用与安全的共生。2021年开源代码的比例已经高达78%;
2025-04-29 09:44:08
1223
原创 车企大量数据泄露,谁来保护智能汽车时代的应用安全?
在研发阶段,为了保障软件供应链的安全可信,使用SCA(软件成分分析)工具对代码进行检测,并形成软件物料清单(SBOM),盘点代码中引入的第三方组件及这些组件引入的漏洞风险,并围绕SBOM建立安全管理流程。然而,如火如荼的市场也吸引了更多的黑客关注,遭遇着更强的安全风险。特别地,对于尚无新版本组件可替换或不便升级组件的开源漏洞以及突然爆发的0day漏洞,RASP可以通过下发热补丁的方式,在不修改源码的情况下对攻击和恶意请求进行识别和阻断,实现对未知安全风险的及时治理,为审慎的漏洞修复争取宝贵时间。
2025-04-28 09:53:44
763
原创 RASP技术是应用程序安全的“保护伞”
如果不对入侵防御系统或Web应用程序防火墙进行持续的调整,这种上下文的缺乏可能会导致阻止合法用户活动的误报,或者更糟的是,允许恶意用户访问敏感数据和系统的漏报。匹配已知模式的请求,称为攻击签名,然后被阻止。在应用安全的构建中,RASP技术弥补了传统防御工具、手段的缺失,可以更好的防御未知威胁,更好的为应用程序树立最后一公里的防线,确保企业应用系统的安全。秉承“预防胜于治疗”的座右铭,RASP 的核心是通过持续监控和行动,密切监控应用程序的不良行为,包括网络嗅探、代码篡改、逆向工程和未经授权的数据泄露。
2025-04-28 09:51:24
569
原创 分享!RASP的技术应用
访客告诉保安匕首是自己的爱好,挂在身上是行为艺术。开源安全是一个老生常谈的话题,研发过程中大量使用开源库,却很少对它们进行安全测试。应用安全中,攻击的入口防不胜防,但最终攻击的方式是固定的。的防护层深入代码上下文,可以基于行为来精准识别攻击,并提供受到攻击影响的相关代码调用堆栈,协助安全团队迅速定位问题并快速制定解决方案。的出现让这份偏爱更加稳定,它可以保护程序免受因为开源组件缺陷而引入的安全风险,是程序员想要的。再举个“栗子”:有了前车之鉴,人们意识到再严格的保安也不如独家的保镖,一字之差,云泥之别。
2025-04-27 11:30:52
715
原创 技术分享 | 开源软件的现状与治理
实际情况是,甚至是事件爆发后的一年,有漏洞的组件的下载量一直居高不下,这个责任不仅是开发者和黑客的责任,使用者也有很大的责任,他对漏洞的情况不了解,也没有及时的修复,导致漏洞在爆发后的下载量依然还是很高,这也反应了开源组件治理的风险。软件组成清单SBOM能够跟踪开源组件的使用情况,能够很快识别出有漏洞的组件,这样在出现问题的时候能够快速修复,最小化软件供应链的风险,也可对当前的开源组件资产做一个梳理。开源软件的风险主要是漏洞,漏洞是一个实时动态的过程,必须要实时跟漏洞库同步。
2025-04-27 11:28:52
816
原创 RASP解决Java安全问题探讨
安全管理员可以在不重新启动或中断应用程序服务的情况下,对正在运行的应用程序添加新规则,从而使他们能够在发现新漏洞后立即阻止它,无需等待供应商提供的补丁。,近年来开源软件漏洞大规模恶意利用、软件供应链投毒事件屡见不鲜,一旦被攻击者发现应用程序中引用了包含已知漏洞的组件,就可能导致服务器被攻击或者敏感数据泄漏,造成无法想象的严重后果。工具分析软件是否存在漏洞时,会面临主要问题、次要问题的优先级排序和误报问题的处理,当漏洞无法避免且项目需要按期交付时,这些工具的结果往往就仅停留在“报告”层面了。
2025-04-26 14:12:44
1011
原创 RASP技术在DevOps中的安全应用
最后,RASP可以在完全阻塞模式下部署,以查看安全测试是否被检测和阻塞,以及它们对用户体验的影响。RASP是一种在服务器上运行并在应用程序开始运行时生效的技术,可用于实时检测黑客对应用程序的攻击,是DevOps开发模式下的极佳选择。随着敏捷开发模式的盛行,缩短了应用程序开发、上线运营时间,而RASP可以检测到任何bug或漏洞,并实时解决问题,确保应用程序的所有版本都是安全的。当采用了RASP之后,开发人员可以将更多精力专注于开发上,避免了过多的时间浪费在漏洞的查找和修复中,可以大大加快应用程序上线的速度。
2025-04-26 14:11:18
745
原创 RASP是安全测试工具AST的加强“武器”
RASP则是在后台运行,分析应用程序流量和活动,仅在检测到恶意行为将要被执行时进行警告或拦截,而不会关注正常的流量和行为,最终报告的是恶意行为的事件信息。如上图所示,我们可以清晰地看到,AST安全测试工具聚焦在代码开发到版本发布的过程阶段,而对于应用程序上线运营阶段的安全防护,则需要依托于RASP。由此可见,RASP对于AST来讲,是安全能力的补充,分别作用于不同的阶段。此类型的工具在运行时检测指示安全漏洞的条件使用此类型的工具,可以在开发周期的后期识别安全错误、运行时和与环境相关的问题。
2025-04-25 09:14:43
671
原创 攻防演练|RASP让WebShell攻击破防了
和 RASP 技术相似,IAST 技术也采用了侵入式探针技术,云鲨 RASP 探针同时整合了 IAST 功能和 Runtime-SCA 功能,通过同一个探针就可以覆盖软件开发生命周期的全流程,涵盖了应用安全测试、软件组成成分分析以及运行时自适应威胁免疫,真正实现 “安全左移,敏捷右移”,助力构建安全的软件生命周期。通过攻守双方信息不对等的优势,预先埋好虚拟环境,让攻击者误以为进入了正常的业务系统,在发现攻击者上传 WebShell 或执行敏感操作时触发报警。通过多级跳转进行的攻击通常使得溯源变得更加困难。
2025-04-25 09:13:08
1191
原创 如何防御Java中的SQL注入
使用SCA(软件成分分析)工具对代码进行检测,并形成软件物料清单(SBOM),盘点代码中引入的第三方组件及这些组件引入的漏洞风险,并围绕SBOM建立安全管理流程。应用上线后进入安全运营阶段,使用监控和保护应用安全的工具是关键,RASP能结合应用的逻辑及上下文,以函数级的精度对访问应用系统的每一段代码进行检测,实时监控安全状况、记录并阻断攻击,而无需人工干预。此外,即使攻击者只能获得对数据库的读取权限,也可能会导致敏感数据泄露,如财务信息或行业机密等业务敏感信息,以及客户的私人信息等。
2025-04-24 09:15:33
953
原创 数字供应链安全下的代码疫苗技术治理与实践
应用技术的变革带来风险面的变化,从以往单一的Web通用漏洞风险,变为涵盖API安全、业务逻辑安全、合规风险、容器环境镜像风险以及开源组件风险在内的多维度攻击面,从而促使安全解决方案的提升来应对新应用场景下的安全挑战。代码疫苗技术是基于插桩技术来实现的,统一融合了IAST、SCA、RASP、DRA、API、APM等能力,凭借一个探针解决应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险,减轻多探针运维压力的同时,为应用植入“疫苗”,实现应用与安全的共生。数字革命席卷而来,悬镜安全顺势而为。
2025-04-24 09:04:17
950
原创 2025最新︱中国信通院静态应用程序安全测试(SAST)工具能力评估,悬镜安全灵脉AI通过评估!
中国信息通信研究院云计算与大数据研究所自2019年,以安全开发为切入点,开展研发运营安全相关研究工作,截至目前为止,由中国信息通信研究院牵头,联合金融、运营商、互联网、安全等行业众多国内知名企业及单位,共同编制了研发运营安全平台和工具系列标准,具体可拆分为研发运营安全平台(DevSecOps)、静态应用程序安全测试(SAST)工具、交互式应用程序安全测试(IAST)工具和运行时应用程序自我保护(RASP)工具四大部分。截至目前,已有3家企业通过静态应用程序安全测试(SAST)工具能力评估,名单如下。
2025-04-21 15:07:02
856
原创 Z伙伴|代码打疫苗,漏洞自免疫!悬镜安全如何用AI守护万亿数字中国?
作为数字供应链安全和DevSecOps敏捷安全开拓者,悬镜安全始终专注于以“AI智能代码疫苗”技术为内核,凭借原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。另一方面,AI也为防御方带来了新的机遇,通过智能分析、威胁情报预警和自动化防御等方式提升安全防护能力。
2025-04-18 15:58:11
1126
原创 《悬镜安全:全面引领软件供应链安全赛道,SCA、IAST、SAST、RASP、DevSecOps五项技术实力登顶!》
悬镜安全凭借技术先进性和市场实践性等多方优势,受到行业标杆用户和权威机构的广泛认可,入选CNCERT数据与软件安全评测领域首批支撑单位,多次获评Gartner SCA技术代表厂商、IDC DevSecOps Innovator(技术创新者代表)以及Forrester SCA和SAST技术代表厂商,连续多年入围FreeBuf、安全牛、数说安全、数世咨询等业内权威咨询机构和安全媒体发布的网络安全行业全景图并强势引领供应链安全和开发安全领域。
2025-04-18 09:07:23
387
原创 干货︱2025年悬镜安全软件供应链安全建设方案分享
方案聚焦企业软件开发中“高危漏洞修复效率低、开源组件风险失控、安全与开发流程割裂”等核心痛点,通过标准化接口对接、自动化规则引擎、分级风险处置机制,将安全能力无缝嵌入开发流水线,形成“检测-分析-修复-验证”的闭环管理,最终实现安全左移落地与供应链风险的可视化、可量化、可追溯。采用自动化插桩技术,在应用部署阶段(如Tomcat、Docker容器启动时),实时注入运行时参数(如用户会话ID、请求URL、数据库连接字符串)运行时监测应用行为,识别动态交互中的安全缺陷,如逻辑漏洞、权限问题等。
2025-04-17 16:30:06
1473
国内为什么没有人做AI搜索类GEO营销工具的
2025-02-17
TA创建的收藏夹 TA关注的收藏夹
TA关注的人