12月21日,ISC 2022数字安全创新能力百强(简称“创新百强”)颁奖典礼于北京成功举办。凭借在DevSecOps软件供应链安全领域的产品技术创新领跑能力和丰富的行业应用落地实践经验,悬镜安全斩获多项殊荣,获评2022年度“创新力十强”代表厂商,旗下全球极客开源安全社区OpenSCA及其商业版源鉴SCA强势引领供应链与应用安全。此外,金融行业软件供应链安全实践成功入选《ISC数字安全创新案例报告》。
ISC创新百强作为数字安全界的“奥斯卡”,是业内公认的见证数字安全创新力量的权威荣誉。本届创新百强征集招募数字安全创新厂商超300家,数字安全创新案例600+。经由百强专家评审团以及行业用户智库的双重评审后,甄选出包括供应链与应用安全在内的十大年度热点安全创新领域。悬镜强势领跑供应链与应用安全领域,是深厚技术沉淀和硬核技术实力的体现。
数字安全“创新力十强”代表厂商
悬镜安全凭借综合创新力、供应链与应用安全领域创新领跑能力等多个维度优势,获评2022年度“创新力十强”代表厂商。悬镜屡获行业认可,进一步体现了深度沉淀的产品技术优势和迅猛增长的市场应用率,以及对用户应用场景的全方位覆盖能力。
图1 悬镜安全斩获ISC 2022“创新力十强”代表厂商
作为ISC十周年代表性人物的子芽在本届“ISC创新力十强”代表发言时提到,数字经济时代软件供应链出现了四个积极的新变化:
- 新制品:软件成分从早期的闭源到混源再变革为开源主导;
- 新发布:开发过程从传统的瀑布式演进到敏捷再演进到DevOps研运一体化;
- 新技术:数字化应用架构从早期的单体应用到SOA再转变为微服务;
- 新环境:数字化基础设施从传统的IDC物理机到虚拟化再发展为容器化。
正是这四大变化,在根源上驱使软件供应链安全风险日趋严峻,推动DevSecOps软件供应链安全成为未来十年网络安全新兴技术的破局点。
图2 子芽作为“ISC创新力十强”代表发言
悬镜多年来深耕DevSecOps软件供应链安全领域,坚持技术应用创新道路,拥有数十项涉及原创“代码疫苗”、“积极防御”等关键技术的发明专利,并首创第三代DevSecOps智适应威胁管理体系。作为IDC Innovator DevSecOps技术创新者,悬镜始终坚守PLG产品创新驱动价值增长的商业理念,旗下DevSecOps全栈产品通过CWE国际兼容性认证,软件供应链安全核心产品首批入选信通院《软件供应链安全厂商和产品名录》,灵脉IAST和云鲨RASP均首批通过信通院软件供应链安全相关工具能力要求评估认证;近期由数世咨询发布的《2022年度中国数字安全能力图谱》和《应用安全测试与分析能力指南》报告显示,强势霸榜SCA、IAST、RASP等多项能力排名;持续保持DevSecOps全栈产品在同类工具中的巨大技术领先优势,市场应用率迅猛增长。
供应链与应用安全领域先锋力量
全球极客开源安全社区OpenSCA及其商业版源鉴SCA,OpenSCA作为GVP,以及源鉴SCA作为首批入选《软件供应链厂商和产品名录》的软件供应链产品,此次又以供应链与应用安全领域的代表产品入选创新百强,又一次彰显悬镜在DevSecOps软件供应链安全领域的创新探索与积累沉淀。
图3 OpenSCA/源鉴SCA入选ISC 2022创新百强
悬镜开创性提出“用开源的方式做开源风险治理”,推出了全球极客开源安全社区OpenSCA并持续迭代,在做商业化运营的同时也为开源生态建设贡献出了自己力量,坚守长期主义,投入大量研发资源和生态资源,携手开源产业生态伙伴,共筑开源安全生态,知行合一守护中国软件供应链安全。作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全管理平台,源鉴SCA在企业通过引入开源组件实现数字化应用开发敏捷化及业务交付加速的过程中,高度适用软件开发生命周期的安全自查、业务外包的安全自查、第三方代码/组件引入安全自查等应用场景。基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,结合悬镜独有的应用探针技术,精准识别应用开发过程中引用的第三方开源组件,并通过应用组成分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
同时,源鉴SCA通过智能大数据漏洞情报监测引擎,在全球范围内获取开源组件信息及其相关漏洞情报,降低由开源组件带来的安全风险,保障数字化应用的安全。它不但能帮助安全团队准确并全面地掌握应用中存在的开源风险态势,而且可以助力开发人员精确获知漏洞详细的引入位置,确定补救工作的优先级并相应地集中精力修复高危漏洞,显著减少漏洞修复时间,降低企业开源治理成本,提升企业软件供应链安全管理效率。
金融行业软件供应链安全实践案例
本届ISC创新百强正式发布了《ISC数字安全创新案例报告》(简称“报告”)。该报告是从征集到的600余数字安全创新案例中筛选提炼,经过专家评委层层把关后,最终凝结的典型创新案例报告,精准覆盖了所有热点数字化应用场景,旨在为各行业用户在数字安全建设过程中提供可参考、可操作、可复制的标准范式。
图4 悬镜金融行业软件供应链安全实践入选《ISC数字安全创新案例报告》
悬镜安全在某商业银行软件供应链安全实践中,以灵脉IAST灰盒安全测试工具为抓手,通过IAST全场景支持的检测模式,帮助用户发现新开发的业务系统中存在的Web通用漏洞、业务逻辑漏洞、潜藏恶意代码以及第三方开源组件缺陷和后门,并结合第三方开源组件成分分析及关联漏洞检查,将安全漏洞的发现和修复时间前置到开发测试环节,大大提升修复效率,帮助消控95%以上业务中高危漏洞,有效防止应用带病上线,从源头进行软件供应链安全治理,同时满足行业监管要求。
“苟日新,日日新,又日新”,创新永远在路上。悬镜安全在无数机遇与挑战并存的数字化浪潮中,以数字时代安全需求为先,聚焦DevSecOps软件供应链安全领域,始终坚定长期主义价值观,持续突破并专注于挑战颠覆性技术,敏捷迭代、实践创新,持续守护中国软件供应链安全。
申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!
悬镜安全
悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为 DevSecOps 敏捷安全领导者,始终专注于以“代码疫苗 ”技术为内核,凭借原创专利级“ 全流程数字供应链安全赋能平台 + 敏捷安全工具链 ”的第三代DevSecOps 智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
