摘要: 近日,由金科创新社主办、全球金融专业人士协会支持的“鑫智奖·第四届金融数据智能优秀解决方案评选”结果正式公布。“悬镜软件供应链安全解决方案”凭借独特的创新性和技术的先进性,通过54位行业专家历经4个月的评审,从近百个参赛方案中脱颖而出,荣获“网络影响力TOP1...
近日,由金科创新社主办、全球金融专业人士协会支持的“鑫智奖·第四届金融数据智能优秀解决方案评选”结果正式公布。“悬镜软件供应链安全解决方案”凭借独特的创新性和技术的先进性,通过54位行业专家历经4个月的评审,从近百个参赛方案中脱颖而出,荣获“网络影响力TOP10优秀解决方案”和“网络信息安全创新优秀解决方案”双料大奖。这是继去年DevSecOps智适应威胁管理解决方案斩获双奖后,悬镜再获专家评委及行业用户认可,蝉联“鑫智奖”。
图1 “悬镜软件供应链安全解决方案”深受专家认可
“鑫智奖”评选致力于在金融行业从线上化、数字化到数智化过程中,通过公平公正公开的方式,挑选出符合金融行业自身需求,具有先进性、可借鉴性的优秀解决方案。
本届评选共计收到75家企业提交的97个参赛方案,在经过为期4个月的方案征集、评审、答辩等环节后,最终产出评选结果。54位评审专家分别来自中国人民银行以及银行、保险、证券、基金等金融机构,其评审结果对金融行业数据智能领域项目选型有相当大的参考价值。
悬镜软件供应链安全解决方案针对软件供应链上下游各环节给出了安全保护措施及工具平台支撑,重点关注开源软件治理和软件安全质量测试,创新提出“代码疫苗”概念并推进产品落地,方案相对完整,具有很好实用价值和推广价值。
——中国建设银行金融科技部制度与内控处副处长杨宝辉
针对软件供应链安全,方案比较全面,有核心专利技术。
——阳光保险集团科技中心信息安全部副总经理杨国栋
实力认证·悬镜软件供应链安全解决方案
作为DevSecOps敏捷安全领导者,悬镜安全专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,并结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,形成了独特的软件供应链安全管理体系。
该体系包含覆盖威胁建模、开源治理、风险发现、威胁模拟、检测响应等关键环节的开发运营一体化敏捷安全产品以及DevSecOps/SDL咨询、开源治理咨询、红蓝对抗/渗透测试、安全开发实训等在内的软件供应链安全组件化服务,为金融电商、泛互联网、车联网、电信运营商、能源电力等行业用户提供创新灵活的全生命周期软件供应链安全解决方案。
图2 悬镜软件供应链安全管理体系
全流程、一站式软件供应链安全赋能与安全保障
根据软件供应链的定义,软件供应链安全可以被理解为在软件生产的整个过程中软件设计与开发的各个阶段,编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。
悬镜软件供应链安全解决方案正是通过覆盖软件全生命周期的工具链,对企业用户进行全流程、一站式软件供应链安全赋能与安全保障。
图3 悬镜软件供应链安全解决方案工具链
- 编码阶段
利用灵脉IAST灰盒安全测试平台、源鉴OSS开源威胁管控平台进行应用安全测试(AST)、开源组件检测(OSS)和软件成分分析(SCA),通过阶梯式检测方案,在研发不同阶段介入最为合适的检测方式和最优检测规则,确保在每个流程上都只检出真实漏洞。所有需要确认的漏洞,交由IAST过程使用真实漏洞攻击代码进行检测,确保更为有效的真实漏洞检出概率并降低误报导致的人工分析成本和落地阻力。
- 测试阶段
利用灵脉IAST灰盒安全测试平台进行交互式应用安全测试,通过获取功能测试人员测试交互流量,并基于模糊测试(fuzz)思想对流量进行攻击代码随机插入和攻击流量构建,自动化对被测程序进行安全测试,并在测试过程中借助插桩监控平台对被测程序的运行轨迹进行实时跟踪和介入。一旦攻击流量触发安全问题,插桩平台不仅可以第一时间捕获安全问题,还能够精确定位到漏洞所在的代码文件、行数、函数及参数。通过这种方式,既能保证检出漏洞的有效性,有效降低误报,还能够精准定位漏洞,帮助研发人员更好进行漏洞修复和回归,有效提升测试过程安全检测能力。
- 上线迭代阶段
利用灵脉BAS自动化模拟攻击平台、云鲨RASP自适应威胁免疫平台实现常态化和自动化安全运营。通过云鲨RASP将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。通过灵脉BAS进行日常自动化渗透测试,让风险管理(RM)贯穿所有阶段,对企业安全设备以及防御策略进行有效性评估和周期性安全检查,提前发现并验证风险影响情况,分析当前安全薄弱点,快速做出响应,做到提前防御及阻断。
- 可视化平台
通过夫子CARTA安全开发赋能平台,将上述各流程的介入工具检测结果进行统一展示和操作,方便用户闭环安全问题、发现高频安全盲区以及进行安全量化统计等。作为DevSecOps全流程敏捷安全赋能平台,夫子CARTA还聚焦开发早期需求分析、架构设计阶段的威胁建模,并重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入DevSecOps/SDL全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。
“悬镜软件供应链安全解决方案”凭借原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的支撑,融合悬镜安全的技术积累硬实力,打造多款新兴的安全工具,在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等新特性,已为上千家企业用户的数字化业务系统提供了适应自身业务弹性发展、面向敏捷业务交付的软件供应链安全治理和合规审查服务。
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn