CWE(Common Weakness Enumeration,通用缺陷枚举),由美国国土安全部下的US-CERT(美国计算机安全应急响应组)资助,是全世界最早和相对权威的软件安全漏洞模式库。通过CWE国际兼容性的认证,表明该项技术和产品能够比较友好地支持国际上主要漏洞(缺陷)模式的检测和分析。“CWE兼容”已作为攻击面管理产品的重要等级标志被国际用户和安全管理人员所认可。

截至目前,全世界仅有73家企业组织包含Apple、IBM、Symantec、Checkmarx等国际一线机构及厂商,共计121个产品和服务通过了该项认证。

 

权威认证闭环 | 国内首家DevSecOps体系全栈产品通过CWE国际兼容性认证插图

图1:CWE官网数据截图

 

悬镜安全是业界最早研究实践CWE认证,并将其从中国学术圈引进至产业界的创新安全厂商。早在2016年,悬镜智能开源治理技术就已在业内推广实践CWE标准,并于2020年,旗下商业化产品源鉴OSS开源威胁管控平台顺利通过CWE全方位兼容测评,是国内DevSecOps领域首款通过该项认证的SCA产品,加上今年一次性通过认证的灵脉IAST灰盒安全测试平台、云鲨RASP自适应威胁免疫平台、灵脉BAS自动化模拟攻击平台以及夫子CARTA安全开发赋能平台,悬镜DevSecOps体系全栈产品均获得了权威认可。

 

权威认证闭环 | 国内首家DevSecOps体系全栈产品通过CWE国际兼容性认证插图1

图2:悬镜全线产品均已通过CWE国际兼容性认证

 

悬镜不仅在SCA、IAST、RASP和CARTA领域是国内首家,而且是国内首个在CWE认证层面实现DevSecOps敏捷安全产品闭环全覆盖的厂商。

作为DevSecOps敏捷安全领导者,悬镜安全已持续赋能上千家行业标杆客户,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,这离不开多年沉淀出的诸如“代码疫苗”、“积极防御”等自主原创发明的关键应用安全技术,以及旗下基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”并已演进至第三代的DevSecOps智适应威胁管理体系。

 

权威认证闭环 | 国内首家DevSecOps体系全栈产品通过CWE国际兼容性认证插图2

图3:悬镜第三代DevSecOps智适应威胁管理体系

 

灵脉IAST:基于深度学习技术的新一代交互式应用安全测试平台

悬镜灵脉IAST灰盒安全测试平台作为悬镜第三代DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过全场景数据流量学习技术,如运行时动态插桩(含主动及被动)、终端流量代理/VPN、流量管家(主机流量嗅探、旁路流量镜像)、Web日志学习、启发式爬虫等和原创AI渗透启发技术,持续赋能传统IT从业人员,在企业组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成数字化应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖95%以上中高危漏洞,防止应用带病上线。

 

云鲨RASP:基于运行时情境感知技术的新一代应用威胁免疫平台

悬镜云鲨RASP自适应威胁免疫平台作为悬镜第三代DevSecOps智适应威胁管理体系中运营环节的持续检测响应平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。

 

源鉴OSS:新一代软件开源威胁治理与风险管控平台

悬镜源鉴OSS开源威胁管控平台作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的风险管控平台,基于多源SCA开源应用安全缺陷检测技术,结合悬镜独有的应用探针技术,精准识别应用开发过程中,软件开发人员有意或违规引用的第三方开源组件,并通过应用组成分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

 

灵脉BAS:基于深度学习技术的新一代持续威胁模拟与安全验证平台

悬镜灵脉BAS自动化模拟攻击平台作为悬镜DevSecOps智适应威胁管理体系中运营环节的持续威胁模拟和安全验证平台,在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,将AI技术与黑客攻击技术紧密结合,利用RNN深度学习算法模拟黑客入侵,可以全方位检验企业现有安全防御措施的有效性。

 

夫子CARTA:新一代DevSecOps全流程智适应安全开发赋能平台

悬镜夫子CARTA安全开发赋能平台作为悬镜第三代DevSecOps智适应威胁管理体系的全流程攻击面管理平台,不仅聚焦开发早期需求分析、架构设计阶段的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入DevSecOps/SDL全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。

 

悬镜安全专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出的第三代DevSecOps智适应威胁管理体系,作为新一代敏捷安全框架,已成功帮助上千家行业标杆用户构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

 

关于悬镜安全

悬镜安全,DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以AI技术赋能敏捷安全,专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务,为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网:www.xmirror.cn

 

作者 Xmirror-Lab