悬镜安全联合ISC重磅发布《2023软件供应链安全洞察》

近日，悬镜安全作为数字供应链安全领导厂商，联合ISC及其它行业厂商共同发布了《2023软件供应链安全洞察》报告（以下简称《报告》）。在报告中，悬镜安全基于自身在金融行业的数字供应链安全治理与运营解决方案，以代码疫苗技术为内核，凭借“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代 DevSecOps智适应威胁管理体系，深度输出了某金融用户的落地实践案例，帮助该金融机构构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系。

《报告》围绕软件供应链安全现状、技术内核、治理指南、落地实践展开，以期为行业从业者提供有价值的信息和洞见，帮助整个行业在应对软件供应链安全挑战的道路上迈出坚实的步伐。

报告中，悬镜数字供应链安全方案在某金融机构的落地实践，基于悬镜源鉴SCA、灵脉IAST和云鲨RASP等数字供应链安全核心工具链搭建，应用效果如下：

1、开源风险治理意识与能力全面提升。

2、软件供应链安全关键技术工具链建设完成，实现安全与效率的平衡：SCA、IAST、RASP 等技术工具被无缝接入 DevOps 流程，DevSecOps 流程体系搭建已具有一定规模。

3、开源漏洞及许可证风险收敛：使漏洞修复周期缩短了 50%，进而使得企业软件安全开发项目的漏洞平均风险值下降了 35%，避免因安全漏洞给企业造成数亿元人民币损失的发生。

4、软件供应链安全管控体系建立：基于技术工具的各项能力，在内部建立起供应链治理组织架构，制定配套的供应链治理管理制度和规范，逐步构筑起比较完备的供应商管控及开源风险治理体系，规范第三方及开源软件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控。

相较于传统的软件供应链安全解决方案，悬镜安全方案创新具备以下优势：

1、技术应用创新：以代码疫苗技术为内核，通过轻量级单探针将 SCA、IAST、RASP 等软件供应链安全关键技术进行深度耦合，将智能风险检测和积极防御逻辑注入到运行时的数字应用中，如同疫苗一般与应用载体融为一体，使其实现对潜在风险的自发现和对未知威胁的自免疫，从而打造供应链安全风险治理与运营的闭环。

2、SBOM 全流程落地：围绕 SBOM 建立安全管理流程，实现基线建立、安全设计评估、应用安全测试、CI/CD缺陷修复&跟踪、产品制品发布，彻底解决目前普遍存在 SBOM“只生成不利用”的困境。

3、自主可控、信创兼容：方案中涉及的软件供应链安全全栈产品工具均为自主研发，安全可控。此外，兼容国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD），支持各种合规性检测场景，并已经完成在国产中间件、服务器、操作系统等信创领域的兼容性互认证。

基于代码疫苗技术在供应链安全的广泛应用与成功实践，悬镜安全正在向行业积极输出自身在各领域下数字供应链安全治理的实践经验，结合悬镜安全第三代DevSecOps敏捷安全体系，将安全能力覆盖至数字应用及数字供应链的全生命周期。悬镜安全将继续致力于为企业用户提供更全面、更智能、更高效的数字供应链安全解决方案，助力企业数字化转型，全方位守护数字供应链安全。