Anprou的博客

RASP技术作为新一代突破性的应用层积极防御技术，可在东西向Web流量自动化检测防御中起到关键作用。

2022年8月2日，由悬镜安全主办、OpenSCA联合承办的第十届互联网安全大会（以下简称“ISC 2022”）软件供应链安全治理与运营论坛隆重召开

悬镜安全作为DevSecOps敏捷安全领导者，凭借在所处赛道多年沉淀的技术研究与创新应用成果、赢得的荣誉资质以及形成的良好品牌效应与市场口碑，荣膺DevSecOps创新赛道领航者，并同时获选年度创新力十强。...

本次做客《安全说》直播间，子芽特别分享了悬镜在DevSecOps技术实践方面的创新研究成果。

近期，在全球信息安全领域最具影响力的RSA Conference 2022年度盛会上，国际领先的电子信息安全媒体Cyber Defense Magazine（《网络防御杂志》，以下简称“CDM”）颁发了“Global InfoSec Awards for 2022”系列奖项。最终，悬镜安全斩获四项大奖：...

于近日举办的CCF TF第61期交流活动，主题为开发安全与软件供应链安全，特别邀请悬镜安全创始人&CEO子芽发表演讲

悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”，技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS（入侵与攻击模拟）技术的创新和应用

OpenSCA是唯一入选GVP的SCA（软件成分分析）工具

就像WAF是防火墙的演进版本一样，大家喜欢把RASP称为下一代WAF。WAF主要解决了防火墙不能根据流量内容进行拦截的问题，而RASP虽然解决了WAF所不能解决的上下文关联的问题，但是它的出现其实并不是为了取代WAF。

悬镜不仅在SCA、IAST、RASP和CARTA领域是国内首家，而且是国内首个在CWE认证层面实现DevSecOps敏捷安全产品闭环全覆盖的厂商

“创新永远在路上，不管是当下还是未来，我们保持做一家持续有干货技术、有创新好产品的硬科技企业，有足够的能力守护好中国的软件供应链安全。”

本文主要探讨的范围是利用SCA技术实现对开源组件风险治理相关能力的建设与落地

悬镜安全此次连续多领域强势霸榜数说安全全景图，进一步证明了悬镜在自身专注领域的头部地位，表明悬镜的创新技术、产品服务均得到业界权威安全专家的一致认可

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地“网安强中强”2022（第二届）数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀，于4月19日做客直播间，以“开源治理实践如何实现自动化和智能化落地”为主题，分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案，在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。一、开源安全背景和现状首先，众所周知，现在的企业正大量使用开源组件。从最初的瀑布式开发模式到敏捷开.

腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优在悬镜出品的DevSecOps应用与技术专场上的主题演讲。

悬镜安全研发管理体系顺利通过CMMI3国际权威认证，进一步验证了公司在前沿安全技术创新研究、大型软件敏捷研发迭代、产品服务高质量规模化应用等方面均具备国际化领先水平。

近期，Spring官方披露了Spring框架远程命令执行漏洞（CVE-2022-22965），当JDK版本在9及以上版本时，易受此漏洞攻击影响。POC、EXP已公开，建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。一、漏洞描述Spring是Java生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞远程执行命令。JDK 9.0 及以上版本易受到影响。二、影响版本版本低于5.3.18和5.2.20的Spring框架或其衍生框架。..

对宁戈来说，悬镜目前最大的价值和意义就是推动了DevSecOps的发展。

中国信息安全、腾讯安全联合实验室及腾讯研究院共同发布《2022产业安全十大趋势》，在“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三个维度中，专家们对“技术演进”维度讨论的篇幅最长，着墨最多，行业反响者众。技术进步及IT工业化水平的提升，给数字化带来了很大的助力，但技术赋能建设的同时也在赋能攻击，IT工业化水平提升的背后，是某个软件被攻陷会带来一连串下游企业受影响，XcodeGhost、Solarwinds……网络安全不再是特定人的专属，而是多数人都应该关心的工作，如何理解技术发展...

数字经济时代，企业的数字化转型已经成为企业发展的重要驱动力之一。无论是传统行业还是互联网数字化转型的内生需求，都需要研发运营模式向敏捷交付一体化发展，即从传统的瀑布式开发到敏捷开发，再演进到当下热门的DevOps研运一体化。图1三种应用开发模式对比随着企业对代码安全性、安全测试与漏洞扫描、第三方开源组件的安全性、设计符合安全标准和规范等安全问题越来越重视，DevOps带动了DevSecOps安全框架的兴起。悬镜安全作为国内DevSecOps敏捷安全领导者，以前瞻性的思维及多年的技术沉淀，助.

前言过去的一年里，SolarWinds和Kaseya以及Apache log4j漏洞等黑客入侵事件让软件供应链风险得到了更多的关注，也给人们敲响了新的警钟：无论是通过渗透软件交付管道，还是利用开源组件中现有的漏洞，攻击者都在利用供应链控制的漏洞来危害组织及其客户；安全漏洞威胁已然成为我们无法回避的问题。开源软件数量呈指数增长，导致我们根本无法单纯通过人力对漏洞进行筛查；且庞大的开源数量群让库间关系越发复杂，我们很难察觉到漏洞的存在。在快速发展的时代里，效率至上是大家默认的规则。为了尽快产出，

摘要WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。WebShell分类WebShell 需要根据目标网站使用语言进行构造，

北京商报/徐语聪互联网的发展，使得一场场博弈在网络入侵和反入侵之间拉开帷幕。尤其在数字化建设浪潮席卷而来的当下，网络安全和风险问题更为突出。纵观互联网发展的历史长河，网络攻击、数据窃取等全球范围内的网络安全重大事件频发，让网络安全成为经久不息的话题，如何加强网络安全建设成为国家发展路程的重中之重。对此，悬镜安全创始人兼CEO子芽表示，根据自身组织的特点搭建配套的弹性敏捷安全体系，将是未来网络安全技术演进的重要趋势。跨出现有认知边界探索前沿技术2013年6月，英国《卫报》和美国《华盛顿邮报

近日，国内安全行业门户FreeBuf咨询正式发布《CCSIP 2021中国网络安全产业全景图》（第三版），悬镜安全再次凭借第三代“DevSecOps智适应威胁管理体系”领先的技术创新性、品牌影响力、产品体验、用户口碑等综合优势，强势入选全景图的IAST、RASP、DAST、SAST、安全开发流程管控、渗透测试、攻防演练、风险评估、等保评测/咨询九个细分领域，相关技术和服务的独特创新价值深受行业专家和用户的专业认可。据FreeBuf官方介绍，相较第二版，CCSIP 2021全景图第三版对原有安全模块及

2021年12月28日，由中国信息通信研究院（以下简称“中国信通院”）主办，云计算开源产业联盟承办的“2021可信云安全论坛”在北京成功举行。论坛上，中国信通院发布了2021年度“云安全守卫者计划”优秀案例评选结果，悬镜安全DevSecOps智适应威胁管理解决方案凭借在通信行业应用实践案例所展示出的高成熟度和行业示范作用，获评“2021云安全守卫者计划优秀案例”。为了引导云安全领域产品的发展方向，中国信通院自2021年10月启动“云安全守卫者计划”优秀案例征集评选，旨在于当前云计算安全态势日益严峻，

2014年成立的悬镜安全是一家致力以 AI 技术赋能敏捷安全，专注于 DevSecOps 软件供应链持续威胁一体化检测防御的安全公司，在悬镜安全创始人兼CEO子芽看来，“随着数字化转型的推进，软件供应链安全的市场潜力巨大。我们的初心就是要持续专注于技术创新应用，守护中国软件供应链安全。我们也希望通过努力在这一技术领域实现不断突破。”

当前，世界正在经历百年未有之大变局，科技创新速度显著加快，以信息技术、人工智能为代表的新兴科技快速发展。新技术、新业务、新模式、新生态层出不穷，给企业传统的治理模式带来前所未有的挑战。在此背景下，新一代IT治理体系应运而生，关注发展、收益与风险间的平衡，强调科学的治理理念和运行体系，是企业高效、高质量发展的重要抓手。为了加强行业内创新交流，提升业界IT治理整体水平，“2021 GOLF+ IT新治理领导力论坛”将于2021年12月24日线上召开。本次大会旨在“新治理融惠创新，数字化行稳致远”，将围...

近日，福布斯中国携手红杉中国首度发布“中国企业科技50强”榜单，悬镜安全凭借企业创新力、市场领导力，以及未来发展潜力多重优势，荣登榜首。本次评选活动由福布斯中国与红杉中国合作，通过对估值、利润、增长率、人文及市场领导力等多个维度构建评价体系，由业内资深的专家学者、企业领袖等组成强大专家评审团，采用定性与定量相结合的方式，最终甄选出这个万亿级赛道中具备创新精神和未来影响力的翘楚。悬镜安全作为唯一专注DevSecOps领域的厂商入围。福布斯中国始终关注中国科技初创企业的发展和创新，期待通过此次评选发

近日，信息安全行业权威媒体安全牛正式发布第九版《中国网络安全企业100强》榜单（以下简称），悬镜安全作为DevSecOps领域的领导者，再度实力入围中国网络安全百强榜单。此次评选历时三个月，由安全牛分析师团队和智库行业专家对500余家安全厂商进行客观分析，从经营、用户、产业、行业贡献四大维度、27个细分项进行综合考评。悬镜安全已连续两年作为唯一专注DevSecOps领域的厂商入围中国网络安全企业100强榜单，再次验证了“悬镜DevSecOps智适应威胁管理体系”在行业应用落地中带来的技术实践效果和创新示范效

网络安全行业中通常会将创业者和安全研究员们分为学院派和工业派，学院派通常是指那些从国内外顶尖高校的安全研究实验室走出来后，带着自己的研究成果投身安全行业大潮的学子们，而工业派则偏向那些从安全行业各个工作岗位上脱颖而出的攻防安全人才。通常情况下，很多安全研究员在走出象牙塔后，会选择进入某个大厂继续历练积累工作经验，但安全419观察发现，在开发安全这个细分领域，有一大批研究员们选择了抱团创业。如成立于2014年，孵化自北京大学信息安全实验室的悬镜安全（XMIRROR）团队；成立于2015年，孵化自上海交通大

日前，DevSecOps敏捷安全领导者悬镜安全与国产中间件的领军企业东方通达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和北京东方通科技股份有限公司副总裁朱木林代表双方签署了战略合作协议。图：悬镜安全CEO子芽（左）与北京东方通科技股份有限公司副总裁朱木林（右）签约悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevSecOps智适应威胁管理体系”为用户提供贯穿开发运营全生命周期的安全解决方案，用前沿AI技术赋能行业...

文章来源于信息技术与网络安全 ，作者牟艳霞编者按随着数字化转型的加速，针对软件供应链的攻击事件呈快速增长态势，目前已成为网络空间安全的焦点，直接影响数字经济长远发展和国家总体安全。如何将安全嵌入到软件开发到运营的全流程，实现防护技术的自动化、一体化、智能化，成为技术领域追逐的热点。悬镜安全作为DevSecOps敏捷安全领导者，致力于以AI技术赋能敏捷安全，专注于DevSecOps软件供应链持续威胁一体化检测防御，在软件供应链防护领域不断思考和勇于实践。日前，悬镜安全创始人兼CEO子芽先生接受本刊

​如果非得推荐一篇关于网络安全方面的文章，下面的这篇文章是小编非推荐不可了。网络行业一年的总结，有国内外政府政策的新制定与颁布，国内外网安行业企业融资发展，还有这一年内安全行业事件的总结与观点的表达。可以说这是一篇对2019年网安行业最具干货，最全面的总结了。本文来源世数咨询，中国数字产业领域最中立的第三方调研机构，以数字时代为背景，提供网络安全行业的调查、研究与咨询服务。如需转载，请标注转...

渗透测试是模拟黑客攻击站在第三方的角度上来测试系统的安全性，通过渗透测试发掘企业系统潜在的安全漏洞。通过对网站及APP应用等，进行非破坏性质的入侵攻击，获取系统权限，并将入侵过程和漏洞细节编写成测试报告，及时提醒企业客户完善安全策略，降低安全运营风险能力。目前渗透测试主要分为以下三类。黑盒测试黑盒测试（Black-box Testing）也称为外部测试（External Testing...

互联网形态的新变化，将更加深刻地改变人类的生活方式、生产方式和商业模式，从而提升人们生活的品质和经济运行的效率。智能互联网将让人们大胆构想和实现过去不敢想像的生活场景，智能设备从电脑手机等有限种类扩展到更多的品种，无处不在。

“网络安全不再是建防护墙那么简单，灵活的、先发制人的安全情报才是主流趋势。

良好的沟通技能同样能够帮助安全部门简化操作流程，对于什么是可行的、可控的、可检测的做出明确的规定和要求。

目前该黑客组织已经将目标转移到了乌克兰银行，据说攻击所用恶意程序中的不少恶意代码和BlackEnergy先前所用的具有较大相似性，所以ESET推测BlackEnergy组织也就是现如今的TeleBots。

本文作者 Pierluigi Paganini，由悬镜安全实验室独家翻译，如需转载，请标注转载地址：http://www.xmirror.cn/土耳其能源部长Berat Albayrak认为，伊斯坦布尔和土耳其其他地区的停电也是网络攻击造成的。根据土耳其能源部长Berat Albayrak，伊斯坦布尔和土耳其其他地区自上周以来一直停电。停电是由来自美国的地下电力线和网络攻击