Anprou的博客

灵脉SAST 3.6携AI增强安全审计助手、后门查杀等功能强势发布，又准又快守护数字供应链代码源头安全。

悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年2月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com）和Pypi官方仓库（https://pypi.org）共捕获503个不同版本的恶意组件包，其中NPM仓库投毒占比89.46%， Pypi仓库投毒占比10.54%，NPM仓库依旧是开源组件包投毒的重灾区。

全球首个轻量级代码疫苗技术，云的原生安全，云原生的安全

轻量级代码疫苗技术，云的原生安全，云原生的安全

RASP技术作为新一代突破性的应用层积极防御技术，可在东西向Web流量自动化检测防御中起到关键作用。

本次做客《安全说》直播间，子芽特别分享了悬镜在DevSecOps技术实践方面的创新研究成果。

于近日举办的CCF TF第61期交流活动，主题为开发安全与软件供应链安全，特别邀请悬镜安全创始人&CEO子芽发表演讲

悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”，技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS（入侵与攻击模拟）技术的创新和应用

就像WAF是防火墙的演进版本一样，大家喜欢把RASP称为下一代WAF。WAF主要解决了防火墙不能根据流量内容进行拦截的问题，而RASP虽然解决了WAF所不能解决的上下文关联的问题，但是它的出现其实并不是为了取代WAF。

“创新永远在路上，不管是当下还是未来，我们保持做一家持续有干货技术、有创新好产品的硬科技企业，有足够的能力守护好中国的软件供应链安全。”

本文主要探讨的范围是利用SCA技术实现对开源组件风险治理相关能力的建设与落地

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地“网安强中强”2022（第二届）数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀，于4月19日做客直播间，以“开源治理实践如何实现自动化和智能化落地”为主题，分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案，在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。一、开源安全背景和现状首先，众所周知，现在的企业正大量使用开源组件。从最初的瀑布式开发模式到敏捷开.

腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优在悬镜出品的DevSecOps应用与技术专场上的主题演讲。

山重水复疑无路，1.0.4新版发布。

近期，Spring官方披露了Spring框架远程命令执行漏洞（CVE-2022-22965），当JDK版本在9及以上版本时，易受此漏洞攻击影响。POC、EXP已公开，建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。一、漏洞描述Spring是Java生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞远程执行命令。JDK 9.0 及以上版本易受到影响。二、影响版本版本低于5.3.18和5.2.20的Spring框架或其衍生框架。..

对宁戈来说，悬镜目前最大的价值和意义就是推动了DevSecOps的发展。

中国信息安全、腾讯安全联合实验室及腾讯研究院共同发布《2022产业安全十大趋势》，在“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三个维度中，专家们对“技术演进”维度讨论的篇幅最长，着墨最多，行业反响者众。技术进步及IT工业化水平的提升，给数字化带来了很大的助力，但技术赋能建设的同时也在赋能攻击，IT工业化水平提升的背后，是某个软件被攻陷会带来一连串下游企业受影响，XcodeGhost、Solarwinds……网络安全不再是特定人的专属，而是多数人都应该关心的工作，如何理解技术发展...

数字经济时代，企业的数字化转型已经成为企业发展的重要驱动力之一。无论是传统行业还是互联网数字化转型的内生需求，都需要研发运营模式向敏捷交付一体化发展，即从传统的瀑布式开发到敏捷开发，再演进到当下热门的DevOps研运一体化。图1三种应用开发模式对比随着企业对代码安全性、安全测试与漏洞扫描、第三方开源组件的安全性、设计符合安全标准和规范等安全问题越来越重视，DevOps带动了DevSecOps安全框架的兴起。悬镜安全作为国内DevSecOps敏捷安全领导者，以前瞻性的思维及多年的技术沉淀，助.

前言过去的一年里，SolarWinds和Kaseya以及Apache log4j漏洞等黑客入侵事件让软件供应链风险得到了更多的关注，也给人们敲响了新的警钟：无论是通过渗透软件交付管道，还是利用开源组件中现有的漏洞，攻击者都在利用供应链控制的漏洞来危害组织及其客户；安全漏洞威胁已然成为我们无法回避的问题。开源软件数量呈指数增长，导致我们根本无法单纯通过人力对漏洞进行筛查；且庞大的开源数量群让库间关系越发复杂，我们很难察觉到漏洞的存在。在快速发展的时代里，效率至上是大家默认的规则。为了尽快产出，

摘要WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。WebShell分类WebShell 需要根据目标网站使用语言进行构造，

信息安全的关键因素是人，有人的地方就有江湖，江湖中避免不了攻防博弈，而博弈是攻防双方采用越来越新的技术进行较量的过程。对于国家、企事业单位甚至个人而言，守护安全防线，确保数据不遗失是最终目的。然而，并没有一劳永逸或者可以防止所有威胁、漏洞的安全防护工具，对于信息安全从业者而言，需要“动态”思维的根据安全威胁制定相应的解决方案。攻防演练活动中“以攻促防”、“以攻验防”的思维正是运用了这种思想，并希望通过这种形式找到安全防线缺失的地方，巩固安全边界，让攻击者无处遁形，所有的“阴谋论”无计可施。而且，攻防演练

2021年12月28日，由中国信息通信研究院（以下简称“中国信通院”）主办，云计算开源产业联盟承办的“2021可信云安全论坛”在北京成功举行。论坛上，中国信通院发布了2021年度“云安全守卫者计划”优秀案例评选结果，悬镜安全DevSecOps智适应威胁管理解决方案凭借在通信行业应用实践案例所展示出的高成熟度和行业示范作用，获评“2021云安全守卫者计划优秀案例”。为了引导云安全领域产品的发展方向，中国信通院自2021年10月启动“云安全守卫者计划”优秀案例征集评选，旨在于当前云计算安全态势日益严峻，

DevOps敏捷开发模式已被业界普遍认可并被广泛应用，同时伴随云原生技术的兴起，青睐采用容器编排解决方案来构建和管理应用的企业不胜枚举。但是，应用程序安全测试依赖运行时探针，采用容器编排方案同时也意味着可能存在百万甚至千万个节点，而这个量级的节点无疑为IAST后台探针承载量带来了巨大挑战。因此，IAST检测平台是否支持多种架构部署模式，能否确保每个应用程序能在上线前发现并解决漏洞问题，将成为决定 IAST 检测平台在 DevSecOps 下顺利落地的关键。1、背景介绍1.1 何为高可用、高并发高

近日，信息安全行业权威媒体安全牛正式发布第九版《中国网络安全企业100强》榜单（以下简称），悬镜安全作为DevSecOps领域的领导者，再度实力入围中国网络安全百强榜单。此次评选历时三个月，由安全牛分析师团队和智库行业专家对500余家安全厂商进行客观分析，从经营、用户、产业、行业贡献四大维度、27个细分项进行综合考评。悬镜安全已连续两年作为唯一专注DevSecOps领域的厂商入围中国网络安全企业100强榜单，再次验证了“悬镜DevSecOps智适应威胁管理体系”在行业应用落地中带来的技术实践效果和创新示范效

网络安全行业中通常会将创业者和安全研究员们分为学院派和工业派，学院派通常是指那些从国内外顶尖高校的安全研究实验室走出来后，带着自己的研究成果投身安全行业大潮的学子们，而工业派则偏向那些从安全行业各个工作岗位上脱颖而出的攻防安全人才。通常情况下，很多安全研究员在走出象牙塔后，会选择进入某个大厂继续历练积累工作经验，但安全419观察发现，在开发安全这个细分领域，有一大批研究员们选择了抱团创业。如成立于2014年，孵化自北京大学信息安全实验室的悬镜安全（XMIRROR）团队；成立于2015年，孵化自上海交通大

日前，DevSecOps敏捷安全领导者悬镜安全与国产中间件的领军企业东方通达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和北京东方通科技股份有限公司副总裁朱木林代表双方签署了战略合作协议。图：悬镜安全CEO子芽（左）与北京东方通科技股份有限公司副总裁朱木林（右）签约悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevSecOps智适应威胁管理体系”为用户提供贯穿开发运营全生命周期的安全解决方案，用前沿AI技术赋能行业...

应用缺陷深度检测分析能力是 IAST 技术的首要基础要求。为了满足用户对各类编程语言的检测需求，IAST 交互式应用程序安全测试平台应全面支持 Java、Node.Js、PHP、C#、Python、Go 等主流编程语言。然而，目前国内市场上除 Contrast、悬镜安全和 Synopsys 的 IAST 平台已覆盖全部主流语言外，多数 IAST 平台仅支持一两款语言，检测深度和应用范围也严重受限。此外，运行时插桩精准检测模式配合流量检测模式、日志检测模式和爬虫检测模式进行深度应用安全审查是实现全场景支持的重

云原生技术成为近年来炙手可热的话题，是业务创新发展的重要驱动力。随着云原生产业规模不断扩大，云端应用在整个生命周期中的每一个阶段都面临着不同的安全挑战，企业需要在安全的架构下设计DevOps流程与工具。2021年9月8日，悬镜安全携手青藤云安全联合举办“云原生技术体系构建与创新应用”主题直播。悬镜安全合伙人、华东区技术运营负责人周幸带来《云原生下的IAST落地实践》主题演讲。内容摘要： 云原生概述 云原生下的应用安全 IAST简介 IAST结合容器化和微服务

近日，云计算开源产业联盟发布了《中国DevOps现状调查报告（2021年）》，对2020至2021年度DevOps在中国落地实践的现状展开调查，并基于调研结果对未来发展趋势做出预判。调查报告重点分析了DevOps的应用现状、工具和技术选择、转型现状、存在的问题与挑战、未来投入趋势，以及企业对政策/资质的需求。图：《中国DevOps现状调查报告（2021年）》封面调查由中国信息通信研究院联合近40家企业共同发起，以信通院牵头编制的《研发运营一体化（DevOps）能力成熟度模型》系列标准为参考，受访

引言2021年7月21日，由中国信息通信研究院指导，DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全大会（DSO 2021）在北京成功举办。大会以“安全从供应链开始”为主题，寓意安全基础决定上层建筑，在云原生环境下为软件供应链注入覆盖全流程的安全属性，从源头做风险治理。现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂，近20个议题，直击软件供应链安全复杂场景中涉及的管理、流程、技术、工具等问题，为安全产业发展提供创新源动力。中国信通院云计算与大数...

随着容器、微服务等新技术日新月异，开源软件成为业界主流形态，软件行业快速发展。但同时，软件供应链也越来越趋于复杂化和多样化，软件供应链安全风险不断加剧，针对软件供应链薄弱环节的网络攻击随之增加，软件供应链成为影响软件安全的关键因素之一。近年来，全球针对软件供应链的安全事件频发，影响巨大，软件供应链安全已然成为一个全球性问题。全面、高效地保障软件供应链的安全对于我国软件行业发展、数字化进程推进具有重要意义。近日，在由中国信通院指导、悬镜安全主办的中国首届DevSecOps敏捷安全大会（DSO 2021）现

引言 《软件供应链安全白皮书（2021）》着重分析了软件供应链安全，梳理了软件供应链的安全现状，透过现状全面剖析软件供应链的安全风险及面临的安全挑战，有针对性的提出如何对软件供应链的安全风险进行防范与治理，系统阐述了软件供应链安全的防护体系及软件供应链安全的应用实践以供参考。正文2021年7月21日，中国首届DevSecOps敏捷安全大会（...

5月26日，2021云原生产业大会在京正式举行，悬镜安全华北区技术运营中心负责人霍光受邀出席，并针对“开源软件的现状与治理”主题进行了分享。该分享重点讲述了企业现阶段所面临的开源软件的风险以及如何对开源软件进行治理，为行业用户在开源软件治理方面带来新的思考。打开百度APP看高清图片霍光介绍到，当前开源软件的现状是：1、现在的代码是组装式而非自己编写的；2、大量使用开源组件；3、由于应用软件越来越多，企业开始使用低代码编程。众所周知，今天的软件系统不像之前那样单一了，有很多代码成分

本次分享共分为三个部分，一是IAST技术的介绍，二是悬镜IAST灰盒安全测试产品的特点，三是悬镜IAST灰盒安全测试产品在客户实际场景中的一些落地。一、IAST简介IAST交互式应用程序安全测试，是由Gartner在2012年提出的一种新型运行时应用安全测试方案。它同时规避了黑盒安全扫描DAST和白盒代码审计技术的主要技术缺陷，通过轻量级的微探针技术，使得它在具有黑盒流量的同时，也能获得白盒的精准代码行定位。IAST之所以被用户认同，来源于DevSecOps的兴起。RSAC2018正式.

近日，金融行业IAST技术实践活动在深圳圆满召开，本次活动由悬镜安全协办，其创始人兼CEO子芽受邀出席本次活动并带来《DevSecOps 敏捷安全技术落地实践探索》为主题的技术分享，现场详细介绍了DevSecOps及其核心技术的落地实践，为行业用户在该领域的创新实践带来了新的思考。以下内容根据子芽演讲PPT整理。在现场子芽提到软件开发安全面临的两个问题： 系统一定有未被发现的安全漏洞。程序员每写1000行代码，就会出现1个逻辑性缺陷，每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终都将导致一个漏洞

3月13日，「金融业企业安全建设实践群·华南分会」在深圳举办了2021年第一场线下活动——IAST实践分享研讨会。本文内容整理自现场刘济舟的发言，已脱敏，已获原作者授权发布。以下为发言实录：大家好，我是刘济舟，今天给大家分享基于 IAST 交互式安全测试实践的初步探索，包括以下四个方面：一，SDL 体系的的建设考虑从需求的角度，我们的需求一般是由业务部门进行整理和提出的，通常业务部门更侧重于业务功能的实现，也没有足够的能力去顾及安全，导致在需求分析阶段缺乏足...

说到自动化渗透测试平台，悬镜小编想起来近年来流行的一种安全理念：“DevSecOps”，一种全新的安全理念与模式，从DevOps的概念延伸和演变而来，其核心理念为安全是整个IT团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节。透明化和自动化是DevSecOps实践的核心要求。DevSecOps的出现是为了改变和优化之前安全工作的一些现状，比...

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。1、My Cloud被发现特权提升漏洞研究人员发现了西部数据My Cloud平台中的一个特权提升漏洞CVE-2018-17153，攻击者可利用该漏洞通过HTTP请求获得对设备的管理级访问权限，从而运行命令、访问存储的数据、修改/复制数据以及擦除NAS。对My Cloud设备的身份验证过程会生成绑定到用户IP地址的服务器端会话...

浏览文章的时候，能够看到一篇干货满满的文章，实属不易，能够把内网安全渗透测试的整个阶段所涉及到的信息整理的如何全面也是值得佩服，废话不多说，直接上文章。本篇文章首发平台先知社区，如需转载，请标注来源。阅读本篇文章大约需要15分钟，建议先收藏，慢慢看。修订记录编号日期修订内容12018.5.18初稿A2B2C2A3B3C31. 内网安全检查/渗透介绍1.1 攻击思路有2种思路：攻击外网服务器，获取外...

Shellshock的原理是利用了Bash在导入环境变量函数时候的漏洞，启动Bash的时候，它不但会导入这个函数，而且也会把函数定义后面的命令执行。