Anprou的博客

悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年2月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com）和Pypi官方仓库（https://pypi.org）共捕获503个不同版本的恶意组件包，其中NPM仓库投毒占比89.46%， Pypi仓库投毒占比10.54%，NPM仓库依旧是开源组件包投毒的重灾区。

轻量级代码疫苗技术，云的原生安全，云原生的安全

RASP技术作为新一代突破性的应用层积极防御技术，可在东西向Web流量自动化检测防御中起到关键作用。

2022年8月2日，由悬镜安全主办、OpenSCA联合承办的第十届互联网安全大会（以下简称“ISC 2022”）软件供应链安全治理与运营论坛隆重召开

本次做客《安全说》直播间，子芽特别分享了悬镜在DevSecOps技术实践方面的创新研究成果。

近期，在全球信息安全领域最具影响力的RSA Conference 2022年度盛会上，国际领先的电子信息安全媒体Cyber Defense Magazine（《网络防御杂志》，以下简称“CDM”）颁发了“Global InfoSec Awards for 2022”系列奖项。最终，悬镜安全斩获四项大奖：...

于近日举办的CCF TF第61期交流活动，主题为开发安全与软件供应链安全，特别邀请悬镜安全创始人&CEO子芽发表演讲

悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”，技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS（入侵与攻击模拟）技术的创新和应用

OpenSCA是唯一入选GVP的SCA（软件成分分析）工具

就像WAF是防火墙的演进版本一样，大家喜欢把RASP称为下一代WAF。WAF主要解决了防火墙不能根据流量内容进行拦截的问题，而RASP虽然解决了WAF所不能解决的上下文关联的问题，但是它的出现其实并不是为了取代WAF。

悬镜不仅在SCA、IAST、RASP和CARTA领域是国内首家，而且是国内首个在CWE认证层面实现DevSecOps敏捷安全产品闭环全覆盖的厂商

“创新永远在路上，不管是当下还是未来，我们保持做一家持续有干货技术、有创新好产品的硬科技企业，有足够的能力守护好中国的软件供应链安全。”

本文主要探讨的范围是利用SCA技术实现对开源组件风险治理相关能力的建设与落地

悬镜安全此次连续多领域强势霸榜数说安全全景图，进一步证明了悬镜在自身专注领域的头部地位，表明悬镜的创新技术、产品服务均得到业界权威安全专家的一致认可

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地“网安强中强”2022（第二届）数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀，于4月19日做客直播间，以“开源治理实践如何实现自动化和智能化落地”为主题，分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案，在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。一、开源安全背景和现状首先，众所周知，现在的企业正大量使用开源组件。从最初的瀑布式开发模式到敏捷开.

腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优在悬镜出品的DevSecOps应用与技术专场上的主题演讲。

悬镜安全研发管理体系顺利通过CMMI3国际权威认证，进一步验证了公司在前沿安全技术创新研究、大型软件敏捷研发迭代、产品服务高质量规模化应用等方面均具备国际化领先水平。

山重水复疑无路，1.0.4新版发布。

近期，Spring官方披露了Spring框架远程命令执行漏洞（CVE-2022-22965），当JDK版本在9及以上版本时，易受此漏洞攻击影响。POC、EXP已公开，建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。一、漏洞描述Spring是Java生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞远程执行命令。JDK 9.0 及以上版本易受到影响。二、影响版本版本低于5.3.18和5.2.20的Spring框架或其衍生框架。..

对宁戈来说，悬镜目前最大的价值和意义就是推动了DevSecOps的发展。

中国信息安全、腾讯安全联合实验室及腾讯研究院共同发布《2022产业安全十大趋势》，在“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三个维度中，专家们对“技术演进”维度讨论的篇幅最长，着墨最多，行业反响者众。技术进步及IT工业化水平的提升，给数字化带来了很大的助力，但技术赋能建设的同时也在赋能攻击，IT工业化水平提升的背后，是某个软件被攻陷会带来一连串下游企业受影响，XcodeGhost、Solarwinds……网络安全不再是特定人的专属，而是多数人都应该关心的工作，如何理解技术发展...

数字经济时代，企业的数字化转型已经成为企业发展的重要驱动力之一。无论是传统行业还是互联网数字化转型的内生需求，都需要研发运营模式向敏捷交付一体化发展，即从传统的瀑布式开发到敏捷开发，再演进到当下热门的DevOps研运一体化。图1三种应用开发模式对比随着企业对代码安全性、安全测试与漏洞扫描、第三方开源组件的安全性、设计符合安全标准和规范等安全问题越来越重视，DevOps带动了DevSecOps安全框架的兴起。悬镜安全作为国内DevSecOps敏捷安全领导者，以前瞻性的思维及多年的技术沉淀，助.

信息安全的关键因素是人，有人的地方就有江湖，江湖中避免不了攻防博弈，而博弈是攻防双方采用越来越新的技术进行较量的过程。对于国家、企事业单位甚至个人而言，守护安全防线，确保数据不遗失是最终目的。然而，并没有一劳永逸或者可以防止所有威胁、漏洞的安全防护工具，对于信息安全从业者而言，需要“动态”思维的根据安全威胁制定相应的解决方案。攻防演练活动中“以攻促防”、“以攻验防”的思维正是运用了这种思想，并希望通过这种形式找到安全防线缺失的地方，巩固安全边界，让攻击者无处遁形，所有的“阴谋论”无计可施。而且，攻防演练

北京商报/徐语聪互联网的发展，使得一场场博弈在网络入侵和反入侵之间拉开帷幕。尤其在数字化建设浪潮席卷而来的当下，网络安全和风险问题更为突出。纵观互联网发展的历史长河，网络攻击、数据窃取等全球范围内的网络安全重大事件频发，让网络安全成为经久不息的话题，如何加强网络安全建设成为国家发展路程的重中之重。对此，悬镜安全创始人兼CEO子芽表示，根据自身组织的特点搭建配套的弹性敏捷安全体系，将是未来网络安全技术演进的重要趋势。跨出现有认知边界探索前沿技术2013年6月，英国《卫报》和美国《华盛顿邮报

近日，国内安全行业门户FreeBuf咨询正式发布《CCSIP 2021中国网络安全产业全景图》（第三版），悬镜安全再次凭借第三代“DevSecOps智适应威胁管理体系”领先的技术创新性、品牌影响力、产品体验、用户口碑等综合优势，强势入选全景图的IAST、RASP、DAST、SAST、安全开发流程管控、渗透测试、攻防演练、风险评估、等保评测/咨询九个细分领域，相关技术和服务的独特创新价值深受行业专家和用户的专业认可。据FreeBuf官方介绍，相较第二版，CCSIP 2021全景图第三版对原有安全模块及

2014年成立的悬镜安全是一家致力以 AI 技术赋能敏捷安全，专注于 DevSecOps 软件供应链持续威胁一体化检测防御的安全公司，在悬镜安全创始人兼CEO子芽看来，“随着数字化转型的推进，软件供应链安全的市场潜力巨大。我们的初心就是要持续专注于技术创新应用，守护中国软件供应链安全。我们也希望通过努力在这一技术领域实现不断突破。”

近日，福布斯中国携手红杉中国首度发布“中国企业科技50强”榜单，悬镜安全凭借企业创新力、市场领导力，以及未来发展潜力多重优势，荣登榜首。本次评选活动由福布斯中国与红杉中国合作，通过对估值、利润、增长率、人文及市场领导力等多个维度构建评价体系，由业内资深的专家学者、企业领袖等组成强大专家评审团，采用定性与定量相结合的方式，最终甄选出这个万亿级赛道中具备创新精神和未来影响力的翘楚。悬镜安全作为唯一专注DevSecOps领域的厂商入围。福布斯中国始终关注中国科技初创企业的发展和创新，期待通过此次评选发

DevOps敏捷开发模式已被业界普遍认可并被广泛应用，同时伴随云原生技术的兴起，青睐采用容器编排解决方案来构建和管理应用的企业不胜枚举。但是，应用程序安全测试依赖运行时探针，采用容器编排方案同时也意味着可能存在百万甚至千万个节点，而这个量级的节点无疑为IAST后台探针承载量带来了巨大挑战。因此，IAST检测平台是否支持多种架构部署模式，能否确保每个应用程序能在上线前发现并解决漏洞问题，将成为决定 IAST 检测平台在 DevSecOps 下顺利落地的关键。1、背景介绍1.1 何为高可用、高并发高

近日，信息安全行业权威媒体安全牛正式发布第九版《中国网络安全企业100强》榜单（以下简称），悬镜安全作为DevSecOps领域的领导者，再度实力入围中国网络安全百强榜单。此次评选历时三个月，由安全牛分析师团队和智库行业专家对500余家安全厂商进行客观分析，从经营、用户、产业、行业贡献四大维度、27个细分项进行综合考评。悬镜安全已连续两年作为唯一专注DevSecOps领域的厂商入围中国网络安全企业100强榜单，再次验证了“悬镜DevSecOps智适应威胁管理体系”在行业应用落地中带来的技术实践效果和创新示范效

日前，DevSecOps敏捷安全领导者悬镜安全与云原生安全公司北京小佑科技达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和小佑科技CEO袁曙光代表双方企业签署了战略合作协议。悬镜安全CEO子芽（左）与小佑科技CEO袁曙光（右）签约悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevSecOps智适应威胁管理体系”为用户提供贯穿开发运营全生命周期的安全解决方案，用前沿AI技术赋能行业用户高效践行DevSecOps。目前，..

网络安全行业中通常会将创业者和安全研究员们分为学院派和工业派，学院派通常是指那些从国内外顶尖高校的安全研究实验室走出来后，带着自己的研究成果投身安全行业大潮的学子们，而工业派则偏向那些从安全行业各个工作岗位上脱颖而出的攻防安全人才。通常情况下，很多安全研究员在走出象牙塔后，会选择进入某个大厂继续历练积累工作经验，但安全419观察发现，在开发安全这个细分领域，有一大批研究员们选择了抱团创业。如成立于2014年，孵化自北京大学信息安全实验室的悬镜安全（XMIRROR）团队；成立于2015年，孵化自上海交通大

日前，DevSecOps敏捷安全领导者悬镜安全与国产中间件的领军企业东方通达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和北京东方通科技股份有限公司副总裁朱木林代表双方签署了战略合作协议。图：悬镜安全CEO子芽（左）与北京东方通科技股份有限公司副总裁朱木林（右）签约悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevSecOps智适应威胁管理体系”为用户提供贯穿开发运营全生命周期的安全解决方案，用前沿AI技术赋能行业...

2021年7月21日，由中国信息通信研究院（CAICT）指导、悬镜安全主办、腾讯安全协办的中国首届DevSecOps敏捷安全大会（DSO 2021）在北京圆满举办。大会以“安全从供应链开始”为主题，寓意安全基础决定“上层建筑”，在云原生环境下为软件供应链注入覆盖全流程的安全属性，从源头做风险治理。在大会现场，来自本届大会的主办方——悬镜安全的创始人兼CEO子芽以“DevSecOps敏捷安全发展趋势”为主题，围绕DevSecOps理念下相关技术的趋势做了分享，并且正式推出了DevSecOps敏捷安全技术金

本次分享共分为三个部分，一是IAST技术的介绍，二是悬镜IAST灰盒安全测试产品的特点，三是悬镜IAST灰盒安全测试产品在客户实际场景中的一些落地。一、IAST简介IAST交互式应用程序安全测试，是由Gartner在2012年提出的一种新型运行时应用安全测试方案。它同时规避了黑盒安全扫描DAST和白盒代码审计技术的主要技术缺陷，通过轻量级的微探针技术，使得它在具有黑盒流量的同时，也能获得白盒的精准代码行定位。IAST之所以被用户认同，来源于DevSecOps的兴起。RSAC2018正式提出了黄金管道的

据 WhiteSource 的报告显示，2015年和 2016年，每年开源安全漏洞的数量不超过 2000，但是在 2017年和 2018年，开源安全漏洞的数量一路飙升，超过4000, 2019年，开源安全的漏洞超过6000个，突破历史记录。然而，在当今复杂而多变的商业环境中，业务团队无法接受速度的迟滞，在研发效率和编码速度的考量下，几乎所有的软件应用都基于第三方的组件、开源代码、通用函数库实现。随之而来又经常被忽视的是：绝大多数应用程序都包含开源组件风险。根据行业公司的调查报告，超过70%的应用在初步检

​4月7日，由北京网络安全大会（BCS）主办、中国信通院云大所作为合作单位的RSAC主题分享万人峰会DevSecOps论坛在线上召开。悬镜安全CEO子芽作为受邀嘉宾，在本场分论坛中分享了以《从RSAC看DevSecOps的进化与落地思考》为题的演讲。以下为演讲内容概要。01传统SDLC面临的安全挑战传统的SDL流程主要有需求分析，架构设计，编码实现，测试，上线，运营等关...

​如果非得推荐一篇关于网络安全方面的文章，下面的这篇文章是小编非推荐不可了。网络行业一年的总结，有国内外政府政策的新制定与颁布，国内外网安行业企业融资发展，还有这一年内安全行业事件的总结与观点的表达。可以说这是一篇对2019年网安行业最具干货，最全面的总结了。本文来源世数咨询，中国数字产业领域最中立的第三方调研机构，以数字时代为背景，提供网络安全行业的调查、研究与咨询服务。如需转载，请标注转...

安全需要考虑成本，原因之一就是因为安全建设是一个无限期的投入过程，甚至可能很长时间内都无法明显看到回报，这一点在企业堆叠大量设备、投入大量人力物力后，却得到一堆更耗费精力的噪声数据的情况中尤为，明显。交互式应用安全测试（IAST）和软件组件分析（SCA）是近一年来测试效果好，且比较新的技术，也是践行DevSecOps最佳实施方案。IAST解决方案的出现是帮助企业识别和管理应用系统潜在的漏洞，从...

2019年12月1日，网络安全等级保护标准2.0正式开始实施，网络等保建设从被动防御进入主动防御新时代。2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。等级保护制度2.0国家标准的实施具...

11月27日，一年一度的“CIS 2019网络安全创新大会”在上海宝华万豪酒店隆重举行，“悬镜灵脉AI-IAST渗透测试平台”历经三个月综合评选，从众多国内外顶尖信息安全产品中脱颖而出，以综合第一名的成绩摘得“WitAwards 2019年度创新产品”桂冠。本次WitAwards评选分为「大众投票」、「甲方投票」、「评委主席投票」、「现场观众投票及颁奖」等四个阶段，邀请了网络安全顶尖行业专...