作者： Xmirror-Lab

网络安全行业中通常会将创业者和安全研究员们分为学院派和工业派，学院派通常是指那些从国内外顶尖高校的安全研究实验室走出来后，带着自己的研究成果投身安全行业大潮的学子们，而工业派则偏向那些从安全行业各个工作岗位上脱颖而出的攻防安全人才。 通常情况下，很多安全研究员在走出象牙塔后，会选择进入某个大厂继续历练积累工作经验，但安全419观察发现，在开发安全这个细分领域，有一大批研究员们选择了抱团创业。如成立...

日前，DevSecOps敏捷安全领导者悬镜安全与国产中间件的领军企业东方通达成战略合作，签约仪式在京举行，悬镜安全CEO子芽和北京东方通科技股份有限公司副总裁朱木林代表双方签署了战略合作协议。 图：悬镜安全CEO子芽（左） 与北京东方通科技股份有限公司副总裁朱木林（右）签约 悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其首创的“DevS...

近日，悬镜安全成功签约中国银行，悬镜旗下风险发现类产品灵脉IAST灰盒安全测试平台将在不增加传统功能测试工作量的基础上，帮助中国银行软件中心完成产品上线前的安全测试和漏洞修复工作，提升业务安全能力，助力科技安全发展，让安全测试与SDLC无缝结合，轻松实践DevSecOps。 中国银行股份有限公司（简称"中国银行"）是中国唯一一家持续经营超过百年的银行，也是中国全球化和综合化程度最高的银行，在中国内...

​随着云计算和人工智能技术的快速发展，企业软件应用与IT业务的融合度越来越高，企业的经营安全在本质上演变为应用安全，而应用安全最核心的要求就是源头治理风险。DevSecOps安全开发体系就是这样一个帮助开发人员高效构建更安全的应用开发流程，重点解决安全合规要求和效率要求，同时降低开发、维护成本的软件开发过程。其中，DevOps场景下全流程的安全开发服务能力是当前政企用户建设敏捷安全体系的迫切要求。...

近日，中国数字产业领域第三方调研机构数世咨询发布《中国网络安全能力图谱（2020年1月）》。悬镜安全作为开发安全领域的领导厂商，入选三大分类，包含DevSecOps、安全开发生命周期SDL、代码检测与审计，是开发安全领域中耕耘最深、布局最完整的代表性厂商。 此次发布的“安全能力图谱”把安全能力划分成8个领域、45个一级分类、111个二级分类与24个三级，囊括了中国网络安全行业各个领域的领导者。悬镜...

安全需要考虑成本，原因之一就是因为安全建设是一个无限期的投入过程，甚至可能很长时间内都无法明显看到回报，这一点在企业堆叠大量设备、投入大量人力物力后，却得到一堆更耗费精力的噪声数据的情况中尤为，明显。 交互式应用安全测试（IAST）和软件组件分析（SCA）是近一年来测试效果好，且比较新的技术，也是践行DevSecOps最佳实施方案。IAST解决方案的出现是帮助企业识别和管理应用系统潜在的漏洞，从而...

11月27日，一年一度的“CIS 2019网络安全创新大会”在上海宝华万豪酒店隆重举行，“悬镜灵脉AI-IAST渗透测试平台”历经三个月综合评选，从众多国内外顶尖信息安全产品中脱颖而出，以综合第一名的成绩摘得“WitAwards 2019年度创新产品”桂冠。 悬镜安全创始人子芽接受颁奖 本次WitAwards评选分为「大众投票」、「甲方投票」、「评委主席投票」、「现场观众投票及颁奖」等四个阶段，邀...

近日，悬镜安全收到了来自人民网股份有限公司的一封感谢信，对悬镜安全在2019年国庆70周年期间提供的支持和配合表示感谢。 感谢信中提到，在悬镜安全的大力支持下，人民网圆满完成2019年国庆70周年的网上新闻宣传和安全保障工作。同时感谢悬镜安全在2019年国庆70周年期间对人民网的技术安全工作所给予的大力支持和重点保障。希望悬镜安全能一如既往的对人民网网络安全保卫工作进行大力支持。 感谢信全文如下：...

AST（Application Security Test，应用安全测试）工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视，AST们也发生着快速的迭代和变化，成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知，并在一定程度上应用它们。但实际上，我们经常发现SAST，DAST，IAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...

近年来，在DevOps模型的指导下，将开发和运维团队结合在一起的公司在以更快的速度发布代码方面取得了普遍的成功。但这一趋势加剧了将安全集成到流程中的必要性，因为发布代码越快，漏洞也就越容易产生。而越来越多的企业和组织已经认识到，信息安全是企业存续发展的基石之一，因此希望将安全融合在DevOps之中，也就是我们所说的DevSecOps。 简单来说，若想要将安全集成到DevOps之中，需要采用工具和方...

2019年年初，拼多多APP出现重大BUG，用户可以在没有任何限制的情况下无限领取100元无门槛优惠券。据不完全统计，一晚上的时间直接造成拼多多损失的优惠券面额达200多亿。根据拼多多官方报道，此次事件是黑灰产团伙通过一个过期优惠券的漏洞，盗取了平台优惠券数千万元。 2018年年底，上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙，该团伙成员发现并利用某银行APP软件中的质押贷款业务安全漏洞...

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。  1.VMware NSX SD-WAN中存在未经验证的命令注入漏洞 Critical Start最新发现了VMware的NSX SD-WAN环境中一个未经身份验证的命令注入漏洞并向VMware的安全响应中心发出警告。该漏洞（CWE-78）允许攻击者在远程服务器上运行任意命令。由于命令注入漏洞可能导致托管Web应用程序的服务器受到...

2018年6月12日，第十六届中国国际软件和信息服务交易会在大连开幕。中国软交会是由中华人民共和国国务院批准举办的中国唯一的国家级软件交易会，自2003年创办以来已经连续举办15届。 本届软交会由国家商务部、信息产业部、教育部、国务院振兴东北办、科技部、国务院信息化工作办公室、中国贸促会、辽宁省人民政府联合主办，大连市人民政府具体承办的目前国内最高规格、最具实效和最具国际影响力的IT行业年度盛会。...

2018年2月26日悬镜安全成功入驻信安在线平台，被正式授予信息安全服务合作伙伴。双方将基于对新形势下信息安全服务发展的深入理解和探索实践，打造更加完善的安全服务交付体验和解决方案闭环，保障政企用户核心业务的安全高效运行。 信安在线颁发信息安全服务合作伙伴牌匾 信安在线（www.cnmstl.net)是公安部第三研究所（国家网络与信息系统安全产品质量监督检验中心）的信息安全服务平台，由上海嘉韦思信...

本文转载自中国经济网 原标题： 全国政协委员周鸿祎：建议强化网络安全漏洞管理 在今年全国两会上，全国政协委员、360集团董事长兼CEO周鸿祎提交了《关于强化网络安全漏洞管理的提案》。周鸿祎在提案中表示，从我国情况看，网络安全漏洞管理方面存在对漏洞不重视、修复不及时，缺少具体的漏洞修复管理细则和处罚机制等问题，建议从建立漏洞管理全流程监督处罚制度、强制召回存在重大网络安全漏洞产品等方面提高我国网络安...