标签： 软件供应链安全

01、什么是软件供应链安全 软件供应链指的是需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成网链结构，涉及到软件产品和服务的所有组成部分和相关方，包括软件开发人员、供应商、第三方组件提供商、运维人员等。 而软件供应链安全，就是指在软件开发、交付、部署和维护过程中，保护软件生态系统中的各个环节免受恶意活动和威胁的影响，以确保软件的可信性、完整性、可用性、合规性...

CCF TF（技术前线委员会，Tech Frontier Committee）是中国计算机学会（CCF）为企业界计算机专业人士创建的企业间常态化合作交流平台，创始委员由Intel、LinkedIn、Microsoft、爱奇艺、百度、滴滴、方正、瓜子、华为、京东、链家网、联想、蚂蚁金服、美团点评、摩拜、奇虎360、搜狗、曙光、腾讯、网易、微博、小米、携程、新浪、中兴等25家知名企业的技术团队负责人（...

近日，由金科创新社主办、全球金融专业人士协会支持的“鑫智奖·第四届金融数据智能优秀解决方案评选”结果正式公布。“悬镜软件供应链安全解决方案”凭借独特的创新性和技术的先进性，通过54位行业专家历经4个月的评审，从近百个参赛方案中脱颖而出，荣获“网络影响力TOP10优秀解决方案”和“网络信息安全创新优秀解决方案”双料大奖。这是继去年DevSecOps智适应威胁管理解决方案斩获双奖后，悬镜再获专家评委及...

近期，由中国信息通信研究院、中国通信标准化协会主办的“2022 OSCAR开源先锋日”活动在线上成功举办。会上，中国信通院宣布悬镜安全成为“可信开源合规计划（TWOS-C）”首批正式成员单位（共21家），并发布和解读了多项标准和白皮书，包括悬镜深度参与撰写的《开源合规指南（企业篇）》以及《开源安全深度观察报告》。   图1 “可信开源合规计划”成员证书   开源已覆盖软件开发的...

全球网络安全行业的盛会RSAC2022刚刚落幕，不过关于大会创新沙盒比赛以及相关议题的讨论依旧火热。ISC互联网安全大会特别策划了直击RSAC2022专题报道系列栏目，并邀请悬镜安全创始人&CEO子芽参与DevSecOps专题云端讨论并解密创新沙盒冠军为何花落Talon公司。一同参与分享真知灼见的还有中兴通讯开源合规&安全治理总监项曙明、平安壹钱包DevSecOps负责人汪永辉以及...

近日，第十届互联网安全大会（ISC2022）打造的网络安全行业万人元宇宙峰会拉开序幕，同步上线十大元宇宙数字安全论坛。悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”，技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS（入侵与攻击模拟）技术的创新和应用。以下为演讲实录： RSAC2018大会正式提出黄金管道（Golden Pipeline）软件流水线实践体系，强调CI/...

GVP（Gitee 最有价值开源项目）是开源中国（OSCHINA）旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台，素有“国产GitHub”之称，吸引了超过800万的开发者，托管项目超过2000万，汇聚几乎所有本土原创开源项目，而目前被评为GVP的项目仅有377个（截至本文发稿前）。OpenSCA是唯一入选GVP的SCA（软件成分分析）工具。  ...

近日，Atlassian官方发布了一则安全更新，通告了一个严重且已在野利用的远程代码执行漏洞CVE-2022-26134，攻击者利用该漏洞，无需任何条件即可在Confluence中执行任意命令。 该漏洞利用难度极低，影响范围广泛，同时利用方式已经公开，接下来将会有更多在野利用事件发生。悬镜建议企业自查，如使用Confluence，请及时采取安全措施。此外，悬镜云鲨RASP对该漏洞天然免疫防护。 一...

汽车行业不断加快数字化转型进程，在促进业务增长与升级的同时，使得企业不得不直面与正视更加严厉的合规监管要求、更加严峻的应用安全现状、更加迫切的信息安全诉求。这样的形势使得软件安全不再能仅靠安全产品或检测工具保证，而需要更加彻底更加坚决的解决方案。   悬镜安全受AutoCS 2022智能汽车信息安全大会组委会特别邀请，联合策划了“AutoCS Live”系列第三期，并已于5月19日上线。...

用什么来保护Web应用的安全？猜想大部分安全从业者都会回答：“WAF（Web Application Firewall, 应用程序防火墙）。”不过RASP（Runtime Application Self-Protection，应用运行时自我保护）横空出世，似乎有取而代之的意味。 长期以来，防火墙一直是大家公认的抵御外部攻击的关键措施。而WAF作为防火墙中的“偏科生”，更擅长于分析应用流量。简单而...

嘉宾 | 宁戈 编辑 | 徐杰承 审校 | 莫奇 悬镜安全CTO宁戈做客51CTO直播间   代码疫苗技术，是一种能够通过运行时插桩技术进行应用漏洞检测及安全防护的新一代安全技术，其所涵盖的IAST技术与RASP技术，已连续数年被Gartner列在十大安全技术之内。 在不久前的【T·TALK】系列活动第七期中，51CTO特别邀请到了悬镜安全CTO宁戈做客直播间，为大家分享代码疫苗技术的原理、实现及...

近日，全球知名咨询公司IDC（International Data Corporation）发布了《IDC Innovators: 中国DevSecOps技术，2022》报告（加个链接，链接到IDC那篇）。悬镜安全被评选为IDC中国DevSecOps技术创新者，这进一步验证了悬镜在软件供应链安全领域的头部地位，表明悬镜的创新技术、产品服务均得到国际权威机构认可。 《IDC Innovators: ...

“DevSecOps市占率持续领先，IAST探针覆盖率十倍增长，代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽向腾讯云启的采访者透露道。 这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者，子芽是这家企业的创始人。   图1：悬镜安全创始人&CEO子芽   身处DevSecOps赛道的产业...

CWE（Common Weakness Enumeration，通用缺陷枚举），由美国国土安全部下的US-CERT（美国计算机安全应急响应组）资助，是全世界最早和相对权威的软件安全漏洞模式库。通过CWE国际兼容性的认证，表明该项技术和产品能够比较友好地支持国际上主要漏洞（缺陷）模式的检测和分析。“CWE兼容”已作为攻击面管理产品的重要等级标志被国际用户和安全管理人员所认可。 截至目前，全世界仅有7...

近日，网络安全垂直领域智库平台“数说安全”正式发布了《2022年中国网络安全市场全景图》（以下简称“全景图”）。悬镜安全凭借独创的覆盖敏捷安全、软件供应链安全、云原生安全等新兴应用场景的第三代DevSecOps智适应威胁管理体系，强势引领开发安全、应用安全测试（AST）、运行时应用程序自保护（RASP）等七大细分领域。 凭借悬镜夫子安全开发赋能平台，位居开发安全领域第一。 凭借悬镜灵脉IAST灰盒...