中国DevOps现状调查报告发布，悬镜安全DevSecOps产品再获市场认可

权威认可

7月25日，2024 XOps产业创新发展论坛在京召开，会上中国通信标准化协会互联网与应用技术工作委员会(TC1)主席何宝宏正式公布《中国DevOps & BizDevOps现状调查报告（2024）》（文末可查看完整报告）。中国DevOps现状问卷调查已连续开展5届，本届调研由云计算开源产业联盟联合超60家企事业单位共同发起，受到互联网、科技、金融、电信、制造业、高校与研究机构等各行业用户的广泛关注和热烈反响，累计收到6388份有效问卷，创造了历届问卷数量的新纪录。

图1：中国DevOps & BizDevOps现状调查报告（2024）

悬镜安全在供应链安全情报、SCA开源软件安全、IAST灰盒安全测试、RASP运行时安全、DAST自动化渗透测试、商用SAST代码审计、应用安全大模型等关键领域市场应用率均位列第一，这也是继2021、2022、2023年后悬镜连续四年在DevSecOps数字供应链赛道排名第一，足见悬镜在DevSecOps数字供应链领域无可争议的领导地位和行业市场的广泛认可。

数字供应链安全情报预警服务

依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力，悬镜云脉XSBOM数字供应链安全情报平台融合超100类渠道数据，并结合策略、AI、专家体系化运营以及风险评级模型，对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析，为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务，帮助用户更快更轻松应对各种风险，智能精准预警“与我有关”的数字供应链安全情报，为企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。

图2：供应链安全情报应用现状

数据来源：中国信息通信研究院

源鉴SCA开源威胁管控平台

源鉴SCA作为新一代开源数字供应链安全审查与治理平台，深度融合悬镜全球首创的代码疫苗技术，是国内首款集代码成分溯源、制品成分二进制分析及运行时成分动态追踪三大核心引擎于一体的多模SCA开源治理平台，全方位覆盖数字应用在开发、测试、采购和运营阶段涉及的第三方开源组件和多层依赖、代码克隆、开源许可协议、二进制制品、运行时应用的纵深数字供应链开源安全风险。

悬镜旗下全球首个开源数字供应链安全社区OpenSCA，是国内用户量最多、应用场景最广的开源SCA平台。OpenSCA通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。

基于其深厚的技术实力和产品应用实践，悬镜源鉴SCA连续多次被Gartner、 Forrester等国际权威咨询机构评为SCA技术代表厂商；OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。

图3：开源软件安全工具应用现状

数据来源：中国信息通信研究院

灵脉IAST灰盒安全测试平台

灵脉IAST是市场应用率连续第一、国内语言支持数量第一、测试覆盖场景类型数量第一、探针技术领先性第一、成熟度第一的IAST产品，通过全场景数据流量学习技术，如运行时动态插桩（含主动及被动）、终端流量代理/VPN、流量管家（主机流量嗅探、旁路流量镜像）、Web日志学习、启发式爬虫等和原创AI渗透启发技术，有效覆盖95%以上中高危漏洞，透明接入研发测试流程，建立上线前研发自助式安全漏洞发现和修复流程，落地DevSecOps敏捷安全体系。

图4：IAST安全工具应用现状

数据来源：中国信息通信研究院

云鲨RASP自适应云防御平台

云鲨RASP基于智能情境感知的代码疫苗技术，通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式，提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。

图5：运行时安全工具应用现状

数据来源：中国信息通信研究院

灵脉PTE自动化渗透测试平台

灵脉PTE在国内率先实现“AI+威胁模拟”，创造性将白帽子在大量渗透过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验，并且在自动化测试过程中借助人工智能算法不断进行“智力”成长和逻辑推理决策，以贴近实际人工渗透的方式，对给定目标进行从信息收集到漏洞利用的完整渗透过程，打破了传统网络安全风险评估平台针对威胁利用的单一性和不连贯性缺陷，帮助企业全方位校验现有安全防御措施的有效性，提升整体安全保障能力和测试效率。

图6：DAST安全工具应用现状

数据来源：中国信息通信研究院

灵脉SAST白盒代码审计平台

作为基于AI多模智能引擎的新一代静态代码安全扫描产品，灵脉SAST提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力，基于AI大模型智能聚类分析，漏洞检测误报率低至15%，漏报率低至13%；与源鉴SCA深度联动实现漏洞可达性分析，评估第三方组件的安全性、审查代码的合规性和最佳实践，帮助确保整个数字供应链的安全性和可信度，提供供应链安全审查并实现供应链安全能力支撑。

凭借先进的技术实力，悬镜灵脉SAST入选国际权威咨询机构Forrester《The Static Application Security Testing Landscape, Q2 2023》报告获评SAST技术代表厂商，并在《中国DevOps & BizDevOps现状调查报告（2024）》中成为代码安全领域市场应用率排名第一的商业产品。

图7：代码安全工具应用现状

数据来源：中国信息通信研究院

云脉X安全大模型

悬镜云脉X由大型语言模型和悬镜强大的数字供应链安全情报数据中心提供支持，创新赋能悬镜第三代DevSecOps数字供应链安全管理体系全线产品，利用AI大模型实现代码语义的理解，结合上下文提升异常行为和未知威胁的发现能力，并基于程序分析过程构建RAG方案，实现智能误报分析、漏洞智能关联分析、智能检测AI代码成分、自动分析开源许可证风险、漏洞优先级排序、智能生成修复代码、数字供应链情报智能个性化推送。

图8：安全大模型使用现状

数据来源：中国信息通信研究院

作为DevSecOps敏捷安全领导者和新一代数字供应链安全开创者，悬镜安全在全球范围内原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系，将源鉴SCA、灵脉IAST、灵脉SAST、云鲨RASP等敏捷安全技术工具进行深度联动，在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下，创新赋能金融、车联网、能源、通信、政企、智能制造和泛互联网等数千家行业用户，为用户构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

志之所趋，无远弗届，穷山距海，不能限也。悬镜安全将坚定不移地站在行业发展的最前沿，以关键前沿技术为引领方向，为企业提供更加高效、安全的数字化服务，助力企业在数字化时代稳健前行，构建更加安全可靠的数字供应链生态，持续守护中国数字供应链安全。

报告下载限时开放中
关注“悬镜安全”公众号

后台发送：DevOps

即刻获取完整报告

（2024.7.29数说安全发布）