作者： Xmirror-Lab

“网安强中强”2022（第二届）数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀，于4月19日做客直播间，以“开源治理实践如何实现自动化和智能化落地”为主题，分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案，在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。   一、开源安全背景和现状 首先，众所周知，现在的企业正大...

近日，经过CMMI权威认证机构的严格审核和评估，悬镜安全研发管理体系顺利通过CMMI3国际权威认证，进一步验证了公司在前沿安全技术创新研究、大型软件敏捷研发迭代、产品服务高质量规模化应用等方面均具备国际化领先水平。 CMMI：软件领域国际市场的“通行证” CMMI（Capability Maturity Model Integration）即软件能力成熟度模型集成，由美国卡内基梅隆大学软件工程研究...

近日，CIS2021网络安全创新大会DevSecOps应用与技术专场在上海成功举办。本次专场由DevSecOps敏捷安全领导者——悬镜安全的创始人兼CEO子芽出品，聚焦DevSecOps的技术发展和应用实践。会上，多位专家结合自身研究或业务进行了主题演讲和圆桌论坛，精彩纷呈。其中，腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优分享了腾讯云在DevSecOps以及开源治理方面的实践经验，以下...

近期，Spring官方披露了Spring框架远程命令执行漏洞（CVE-2022-22965），当JDK版本在9及以上版本时，易受此漏洞攻击影响。POC、EXP已公开，建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。 一、漏洞描述 Spring是Java生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞远程执行命令。JDK 9.0 及以上版本易受到影响。...

2022年3月22日，悬镜安全宣布完成B轮融资。三年前，悬镜的CEO子芽，这位未名湖畔的筑梦人，接受了安在的采访，那时的悬镜刚刚完成产品由十年磨一剑的前沿技术研究到商业化落地的打磨实践阶段。作为公司战略层面的决策者，子芽对安在的记者说，三年内，要完成创业之初的所有主要设想，要通过更加优越的产品体验服务和更加接近用户的本地化技术支持，更好地帮助用户建立健全的DevSecOps内生积极防御体系。 现在...

2022年3月22日，DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资，本轮融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入，凭借领先的下一代敏捷安全框架，在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适...

纵观互联网发展的历史，安全问题一直如附骨之疽从未消亡。层出不穷的网络攻击事件对个人、企业甚至国家产生了严重威胁。而随着企业数字化转型的加快，软件开发安全被聚焦，将安全嵌入软件开发和运维的每一个环节，即DevSecOps的理念和模式，成了行业的新宠儿。 2022年3月3日，在CIS 2021网络安全创新大会的DevSecOps应用与技术专场上，专场出品人同样也是国内DevSecOps敏捷安全领导者—...

人们对于开源安全问题总是抱有一种侥幸心理，只有开源代码出现问题之后，人们才会注意到它自带的安全隐患。在这之中，我们总是复盘已经出现过的某个或某些特定的安全威胁模式，然而当未知的威胁出现时，现有的安全威胁模型并不能很好地解决问题。 背景 美国去年发布了一项关于网络安全的行政命令，其中提到要保护软件供应链；此后，白宫召开会议讨论了通过保护开发基础设施和工具以及确定关键开源项目来保护开源软件供应链的方法...

摘要 WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 R...

前言 过去的一年里，SolarWinds和Kaseya以及Apache log4j漏洞等黑客入侵事件让软件供应链风险得到了更多的关注，也给人们敲响了新的警钟： 无论是通过渗透软件交付管道，还是利用开源组件中现有的漏洞，攻击者都在利用供应链控制的漏洞来危害组织及其客户；安全漏洞威胁已然成为我们无法回避的问题。 开源软件数量呈指数增长，导致我们根本无法单纯通过人力对漏洞进行筛查；且庞大的开源数量群让库...

信息安全的关键因素是人，有人的地方就有江湖，江湖中避免不了攻防博弈，而博弈是攻防双方采用越来越新的技术进行较量的过程。对于国家、企事业单位甚至个人而言，守护安全防线，确保数据不遗失是最终目的。然而，并没有一劳永逸或者可以防止所有威胁、漏洞的安全防护工具，对于信息安全从业者而言，需要“动态”思维的根据安全威胁制定相应的解决方案。 攻防演练活动中“以攻促防”、“以攻验防”的思维正是运用了这种思想，并希...

近日，福布斯中国携手红杉中国首度发布“中国企业科技50强”榜单，悬镜安全凭借企业创新力、市场领导力，以及未来发展潜力多重优势，荣登榜首。 本次评选活动由福布斯中国与红杉中国合作，通过对估值、利润、增长率、人文及市场领导力等多个维度构建评价体系，由业内资深的专家学者、企业领袖等组成强大专家评审团，采用定性与定量相结合的方式，最终甄选出这个万亿级赛道中具备创新精神和未来影响力的翘楚。悬镜安全作为唯一专...

DevOps敏捷开发模式已被业界普遍认可并被广泛应用，同时伴随云原生技术的兴起，青睐采用容器编排解决方案来构建和管理应用的企业不胜枚举。但是，应用程序安全测试依赖运行时探针，采用容器编排方案同时也意味着可能存在百万甚至千万个节点，而这个量级的节点无疑为IAST后台探针承载量带来了巨大挑战。因此，IAST检测平台是否支持多种架构部署模式，能否确保每个应用程序能在上线前发现并解决漏洞问题，将成为决定 ...

近日，DevSecOps敏捷安全领导者悬镜安全与一站式 DevOps 软件研发管理协作平台CODING 达成战略合作，签约仪式在深圳腾讯云 CODING 总部举行，悬镜安全CEO子芽和CODING CEO 张海龙代表双方企业签署了战略合作协议。依托于在敏捷安全方向丰富的落地经验，并基于CODING完备的DevOps体系，将悬镜安全敏捷安全工具链全面融入，打造整体的DevSecOps创新模式。悬镜安...

日前，DevSecOps敏捷安全领导者悬镜安全与云原生安全公司北京小佑科技达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和小佑科技CEO袁曙光代表双方企业签署了战略合作协议。 悬镜安全CEO子芽（左）与小佑科技CEO袁曙光（右）签约 悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevSecOps智适应威胁管理体系”为用户提...