技术应用场景
应用介绍
悬镜源鉴SCA开源威胁管控平台作为新一代开源数字供应链安全审查与治理平台,深度融合悬镜原创专利级的代码疫苗技术,是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力。
如今,在研发效率的考量下,几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是:开源组件风险的爆发。根据行业公司的调查报告,应用中平均使用了283个开源库,超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。
源鉴SCA是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。
支持丰富的检测方式:动态模拟构建环境、静态特征文件、Hash精准匹配、项目结构相似度检测、漏洞利用链路可达性验证
支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在AI生成代码侵权风险
支持SBOM全生命周期管理,实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
难度较大,源码文件包含信息完整,结果的可解释性与准确性较高。其中,客户本地环境模拟构建、项目结构相似度检测技术门槛较高
难度大,开发引入第三方项目时,代码会经过重构(如变量重命名、逻辑等价替换),源鉴SCA采用代码语义级别的特征提取,弱化表面语法差异,检测精准率行业领先
难度大,对检测算法要求更高,需要持续的特征库维护和优化,并专项扩充移动应用、固件等文件对象的常用组件、SDK、漏洞、恶意软件收集
难度大,除了解析镜像配置文件的标准元数据,源鉴SCA通过源码集成源码依赖SCA、二进制SCA,可对企业自研、定制软件进行深度检测
难度大,可通过运行时监控技术,检查程序运行时加载第三方组件,支持运行时可达性验证,检测精度高
难度大,通过“五大分析引擎”与SBOM全周期管理技术联动开源数字供应链安全情报,实现小时级别的风险实时预警
悬镜供应链安全情报云平台,基于精确、全面的软件物料清单梳理和AI大数据分析引擎,实现7*24全网数字供应链安全动态监测与溯源分析,智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险,安全快人一步。
源鉴SCA赋能信创监管合规,支撑与国产主流信创环境的兼容适配,保障国产信创产业生态链的安全可信。提供一键数字应用供应链安全审查服务,覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象,确保信创应用快速符合相关监管要求。
原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps数字供应链安全落地实践,实现企业与安全共生。
做好DevSecOps敏捷安全体系建设,配套工具链技术的支撑非常重要。悬镜灵脉IAST灰盒测试平台作为一种新兴的交互式应用安全测试工具,在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等新特性,可为证券行业的数字化业务系统提供相对准确的安全测试和审查帮助。
悬镜灵脉AI渗透测试平台是目前我们在尝试实现DevSecOps—软件系统全生命周期安全管控时所选用的一款产品,其核心理念来自于悬镜安全多年的渗透经验和关键技术积累。平台融入了悬镜的AI渗透测试技术,从攻击者视角实施资产发现、资产监测,可为高校的网站和信息系统提供准确的风险监控。
悬镜灵脉IAST解决方案非常好地融入了壹钱包DevOps的实践中,对于壹钱包DevSecOps文化建设有着极其重要的意义。
悬镜灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps自适应威胁管理体系风险发现平台,深度融合了DAST(应用漏洞扫描)和SAST(源代码静态分析)的技术优势,在不增加额外工作量的基础上,透明完成应用项目规范化安全测试,漏洞检测精准且误报低,很适合我们开发部门做快速迭代。
悬镜安全在信息安全领域毫无疑问是非常专业的,而我觉得相比专业能力来说,他们更为值得肯定的是一种认真细致,勇于担当的精神,这是众多企业予以托付的根本。
悬镜灵脉IAST灰盒安全测试平台作为DevSecOps交互式应用安全测试工具,深度融合了DAST(漏洞扫描)和SAST(源代码静态分析)的技术优势,在极高漏洞检出率的基础上做到极低误报率,实属难得!同时支持代码行级漏洞定位和第三方应用组件缺陷分析,特别适合SDLC开发安全。
悬镜安全是一支富有朝气的团队,技术能力突出,服务细致到位,提供专业化的信息安全服务,在多个安全保障工作中发挥了重要作用。
悬镜安全是具有团结拼搏精神的团队。他们能够在网络安全的大潮中抢抓机遇,沉着应对,不断提高自主创新能力,并致力于安全生态的发展,不忘为客户提供更多服务的本心,悬镜加油!
悬镜安全提供的专业安全评估,是企业网站服务保证中不可或缺的一个环节。悬镜团队朝气、专业的服务给我司留下了深刻印象!
