云脉XSBOM供应链安全情报预警平台斩获年度杰出安全产品殊荣

近日，2024年度（第八届）中国网络安全与信息产业“金智奖”评选活动结果正式揭晓。本届“金智奖”延续了以往对行业前沿创新能力和安全实力的深度挖掘，在百余位专家评委、30余位媒体评委以及众多大众评委的评审下，网安风云人物、杰出安全产品等五项重磅奖项名单已经出炉。

基于AI驱动的数字供应链安全情报预警服务平台悬镜云脉XSBOM凭借强大的数字供应链SBOM全生命周期溯源管理与监测能力、AI应用安全大数据云端分析能力和OpenSCA开源数字供应链安全社区在代码成分安全上的活跃贡献能力，科技硬核斩获金智奖 “2024 年度杰出安全产品” 。

悬镜安全云脉 XSBOM 荣获金智奖“2024年度杰出产品”

AI驱动的全球首个数字供应链安全情报预警服务

悬镜云脉XSBOM数字供应链安全情报预警服务依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力，聚合独家特色情报源数据以及对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析，可基于云脉XSBOM数字供应链安全情报预警平台或以 SaaS 订阅的方式，为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务，帮助用户更快更轻松应对各种风险，智能精准预警“与我有关”的数字供应链安全威胁。

云脉XSBOM数字供应链安全情报融合了超100类渠道数据，并结合策略、AI、专家体系化运营以及风险评级模型，实现了情报的快准全，帮助企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。

基于悬镜云脉 XSBOM 平台的供应链安全情报生产、运营和消费

在情报生产方面，独家情报源数据、3~12小时获取最新情报是云脉XSBOM 预警服务的重要特点。云脉XSBOM 已支持情报内容包括：

漏洞情报：漏洞影响SBOM资产，独家 0day/1day 漏洞情报，漏洞分析（代码分析、漏洞复现），修复方案，缓解措施，PoC/ExP详情，漏洞代码片段，漏洞可达分析、补丁包验证等高价值字段；

投毒情报：恶意包影响SBOM资产，官方仓库上架状态，恶意包分析（代码分析），修复方案，IoC（IP地址、域名或URL、HASH等信息）等高价值字段；

组件运营风险：组件的停服断供信息，组件迁移风险，组件许可版权变更风险；

敏感信息风险：企业源代码泄露，个人信息泄露，敏感配置文件泄露等风险监控。

同时，云脉 XSBOM 以“策略+AI+专家”的方式，利用AI对海量漏洞信息进行分析、筛选、补全、分类和属性标定，专家对初步处理后的情报信息进行分析与复现验证，以实现覆盖情报生产全链条的去误报能力。

支持企业核心SBOM上传云端实时监控，支持DSDX（默认）、SPDX、CycloneDX、SWID协议格式，进行针对性供应链资产风险情报深度分析，精准预警。

在产品联动方面，云脉 XSBOM不仅已经实现对悬镜安全全线平台产品和 OpenSCA的支持，并能够以接口订阅的方式，向 OA、钉钉、企业邮件等平台推送信息和与客户本地 SCA、AST、态势感知/安全运营中心（SOC）、主机入侵检测（HIDS）等平台的联动，实现基于供应链安全情报的监控告警，和基于漏洞优先级技术（VPT）提供处置建议。

天下武功唯快不破，精准预警数字供应链中的安全风险

数字供应链安全情报的精准实时输出是悬镜安全实现数字供应链安全管控体系深度闭环的关键之一。此前，被业界广泛应用的悬镜源鉴SCA开源威胁管控平台内置离线部署的漏洞库，主要是利用SCA软件成分分析技术和SBOM清单，充分结合数字供应链开源安全情报服务，对应用系统中引入的第三方组件及依赖进行安全审查和监测，实现精准监测开源组件中潜藏的各类安全漏洞、恶意代码投毒以及开源协议风险。同时，对于增量漏洞库的维护运营和实时更新往往受限于客户的实际业务场景。而现在，供应链安全情报中心在捕获并验证风险之后，就可以实时推送同步到订阅用户侧，实现小时级别的漏洞预警服务，从而让用户享受到更便捷实用的数字供应链安全体系化服务。

数字供应链安全预警服务情报，可提供实时的开源组件漏洞事件监控，将“与我有关”的安全事件信息第一时间提供给用户，解决信息滞后性，从而可提前及时进行应对措施。通过开源组件漏洞情提供的PoC/ExP漏洞利用信息、补丁信息等，快速定位验证风险影响并进行漏洞修复。

运营团队建立起漏洞复现、补丁验证、PoC/ExP测试、风险评级等一系列标准化流程，形成“可落地”“可机读”的高质量漏洞情报，实时推送给用户。

漏洞情报处置流程

当前，悬镜供应链安全情报中心已经积累了50万+的漏洞情报及10万+开源组件投毒情报。仅 2024 年前3个季度，情报中心就依托悬镜云脉 XSBOM 平台捕获到超过1万个恶意组件包，并向业界公开发布多篇组件投毒的独家分析报告。

悬镜云脉XSBOM 开源组件投毒检测方案示意

基于悬镜供应链安全情报中心的赋能，悬镜云脉 XSBOM 能够通过与客户资产的SBOM 信息（已支持包括 DSDX、SPDX、CycloneDX、SWID等多种 SBOM 格式）进行关联匹配，以3~12小时高推送频率，实现0-Day/1-Day漏洞情报、供应链安全投毒情报、供应链组件运营情报和敏感信息泄露风险情报精准定向预警，助力客户前置数字供应链安全威胁和风险的应对，为客户的数字供应链安全运营和应急响应工作提供有力支撑。

智慧的攻才是进阶的防，情报驱动数字供应链安全治理体系

高质量的供应链安全情报，是数字供应链安全治理的重要能力底座。

目前情报中心的情报输送主要有两种形式，第一是内置于悬镜第三代DevSecOps数字供应链安全体系中，例如用户通过使用悬镜源鉴SCA平台就可以很轻易地利用情报来优化安全策略，前置发现应用安全风险。从而实现悬镜安全产品间深度能力闭环，悬镜安全能够以AI智能代码疫苗技术为核心，以积极防御框架为实战驱动，以运行时轻量级单探针为应用载体，在全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的基础上，为客户构筑起适应自身业务发展、面向敏捷业务交付的数字供应链安全治理体系，提供更有力的支撑。另一种则是通过悬镜的OpenSCA开源数字供应链安全社区对外提供的SaaS订阅接口，实时接收最新的供应链投毒、漏洞和停服情报，用户可以根据自身需求，按需订阅。

身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过AI大模型技术深度赋能基于“智能供应链安全管理平台+敏捷安全工具链+AI安全情报预警”的第三代DevSecOps数字供应链安全管理体系，积极发挥领导者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护中国数字供应链安全。

＋

推荐阅读