Gartner权威认可 | 悬镜安全获评SCA和BAS技术代表厂商

图1 2022中国网络安全技术成熟度曲线

现代软件都是组装的而非纯自研，开源代码在数字化应用中所占的比例已增至78%-90%，Gartner此前的调查显示，99%的组织在其IT系统中使用了开源软件。以开源为主导的开发模式已成为应用开发新趋势，在帮助企业降本增效的同时，也将开源安全问题引入了软件供应链。

SCA（Software Composition Analysis，软件成分分析）是一种对软件的组成部分进行识别、分析和追踪的技术，能通过清点软件构成和依赖关系，切实解决开源软件和第三方开源组件的漏洞以及许可证合规性等安全问题。

源鉴OSS开源威胁管控平台（以下简称“源鉴OSS”）作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全管理平台，基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，结合悬镜独有的应用探针技术，如同对代码进行核酸检测，精准识别应用开发过程中引用的第三方开源组件，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

相较于传统SCA产品，源鉴OSS依靠独有的IAST技术，拥有运行时分析能力，是成熟的开源软件成分分析信息化应用创新产品，中国信息通信研究院最新发布的《中国DevOps现状调查报告（2022）》显示，。源鉴OSS在满足国内行业监管法规要求的同时，也获得了各项国内外权威荣誉资质： 

伴随人工智能等新技术的应用，网络武器泄露的延续效应正在逐渐转变网络攻击的逻辑和手段，“攻防不对等”形势更为严峻。为从根本打破“攻防不对等”的现状，针对组织内部防御体系有效性提升常态化的验证能力，进而基于攻击者视角构筑新一代积极防御体系，将成为企业安全体系深入发力的重点。

BAS（Breach and Attack Simulation，入侵与攻击模拟）作为Gather于2021发布的八大安全和风险管理趋势之一，其实践价值主要在于模拟人工的红蓝对抗，或者以风险评估的方式实现安全度量，即通过自动化模拟入侵和攻击，从而持续性地验证企业组织防御策略乃至整个体系的有效性。

灵脉PTE持续威胁模拟平台（以下简称“灵脉PTE”）作为悬镜DevSecOps智适应威胁管理体系中运营环节中的安全度量平台，在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统，利用RNN深度学习算法模拟黑客入侵，可为用户提供持续性的网络安全验证与漏洞挖掘能力。灵脉PTE创造性地将白帽子在大量渗透过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验，在自动化渗透测试过程中借助人工智能算法不断进行“智力”成长和逻辑推理决策，以贴近实际人工渗透的方式，对目标进行从信息收集到漏洞利用的完整渗透过程。

以灵脉PTE、云鲨RASP等工具链构筑的悬镜新一代积极防御体系，可在应用上线前实现出厂免疫，上线后进行持续威胁模拟与安全效果度量，从而完成主动式全流程攻击面管理。

此次入选Gartner权威报告，是悬镜安全在DevSecOps软件供应链安全领域技术创新能力、领导者地位的充分彰显，进一步验证了悬镜产品在技术及市场方面的领先优势。

悬镜安全始终坚守PLG产品创新驱动价值增长的商业理念，持续赋能从威胁建模、开源治理、风险发现、积极防御到安全度量等DevSecOps全流程的各关键环节，在DevSecOps、软件供应链安全、云原生安全三大典型应用场景下，持续帮助各行业用户构建内生积极防御体系。