权威 | 悬镜安全首批入选信通院《软件供应链厂商和产品名录》

2022年12月13日，由中国信息通信研究院（以下简称“信通院”）主办的2022“3SCON软件供应链安全大会”成功召开，为了进一步提升软件供应链透明度，积极应对不断出现的软件供应链安全治理难题，并为行业用户选择合适的厂商及产品提供选型指导，会上正式发布了《软件供应链厂商和产品名录》等多项重磅成果。凭借在软件供应链安全领域长期深度沉淀的产品技术优势和丰富的用户场景实践经验，悬镜安全入选首批软件供应链厂商的商业产品提供商名录，旗下软件供应链安全核心产品灵脉IAST（灰盒安全测试平台）、源鉴SCA（开源威胁管控平台）、云鲨RASP（自适应威胁免疫平台）成为首批收录的信息安全软件类软件供应链产品。

为了推进标准落地并规范行业发展，中国信通院积极开展软件供应链安全领域的相关评估工作。会上还正式公布了2022年最新研发运营安全工具（RASP首批）评估结果，悬镜安全成为首批通过RASP评估的软件供应链厂商。

同时，会上公布了3S-Lab软件供应链安全实验室新一批成员单位。，在软件供应链安全实验室秉持“引领产业方向、统一沟通渠道、形成产业合力、推动业态发展”的发展理念下，携手信通院，联合政、产、学、研、用多方力量，凝聚产业共识，整合优质资源，助力产业升级，推动软件供应链安全产业发展与推进。

图1 《软件供应链厂商和产品名录》全家福

图2 《软件供应链厂商和产品名录》（扫描文末官方下载二维码，即可获得名录全文）

在数字经济时代，“随着容器、微服务等新技术的快速迭代，开源软件已成为业界主流形态，开源和云原生时代的到来导致软件供应链越来越趋于复杂化和多样化，网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口，从而导致软件供应链的安全风险日益增加。”（）

悬镜始终以“守护中国软件供应链安全”为己任，凭借在软件供应链安全领域长期深度沉淀的产品技术优势和广泛的用户场景落地应用实践，成为首批入选《软件供应链厂商和产品名录》的商业产品提供商，且旗下灵脉IAST、源鉴SCA及云鲨RASP成为首批收录的软件供应链产品。

为帮助企业高效进行软件供应链安全风险治理和运营，悬镜打造了软件供应链全流程风险治理框架，核心分为三个阶段：源头治理阶段、研发过程治理阶段、上线运营治理阶段。又分为准备、采购、开发、交付、部署和运营六个环节，在每个环节通过DevSecOps敏捷安全工具链及配套的软件供应链模块化安全服务，提供软件供应链全生命周期的安全管理。

图3 悬镜第三代DevSecOps智适应威胁管理体系

针对当前信息化建设较为完善、云原生和微服务普及度较高的金融、泛互联网、能源等行业，悬镜可以将灵脉IAST、源鉴SCA、云鲨RASP等产品，通过单探针技术，体系化地集成到用户的数字化应用开发流水线中，并基于悬镜在DevSecOps软件供应链安全领域的全栈能力，与用户联合打造下一代DevSecOps敏捷安全体系，全方位实力保障企业的软件供应链安全。

针对部分信息化建设程度稍弱的行业用户和组织，悬镜提供一套SaaS化安全订阅的服务模式，以灵脉IAST、云鲨SaaS等单个工具为抓手，既能从源头开始逐步帮助用户将安全左移，引导用户进行早期的软件供应链安全治理，又能帮助用户在其应用系统上线后实现敏捷右移，进行常态化软件供应链安全运营。

针对安全团队建制完善或是开发能力较强的大型企业用户，悬镜提出“用开源的方式做开源风险治理”，推出了全球极客开源安全社区OpenSCA并持续迭代，在做商业化运营的同时也为开源生态建设贡献出了自己力量，长期大量投入人力、物力、资源等，与社区伙伴们一同维护OpenSCA社区，共筑开源安全生态。

继灵脉IAST成为首个通过了《交互式应用程序安全测试（IAST）工具能力要求》评估认证的产品后，云鲨RASP同样成为首批通过《运行时应用程序自我保护（RASP）工具能力要求》评估认证的产品，进一步体现了悬镜DevSecOps敏捷安全产品的硬核技术实力。

图4 云鲨RASP首批通过信通院评估认证

RASP作为悬镜原创专利级代码疫苗技术的核心组成部分，基于运行时动态插桩的智能单探针技术可以获取、操作应用运行时的精准数据，进而实现检测防御相关的诸多功能，甚至能将多种能力组合、串联，形成一个统一的运行时安全探针。凭借轻量级代码疫苗技术，云鲨RASP以及云鲨SaaS通过插桩专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将防护逻辑与防护功能注入应用程序，深入应用运行时的环境内部，无需人工干预，使应用拥有威胁自免疫能力。当应用程序开始运行时，RASP可以通过分析与了解数据流及事件流，检测和防护无法预见的安全威胁与攻击事件，尤其在0Day等未知漏洞防御、东西向流量防护、软件供应链投毒免疫等方面，拥有绝对的核心优势，是企业构筑下一代积极防御体系所不可或缺的核心能力。

图5 悬镜为软件供应链安全实验室（3S-Lab）副理事长单位

悬镜此前已成为信通院软件供应链安全实验室（3S-Lab）的副理事长单位，此次又屡获信通院的权威认可，彰显了悬镜在软件供应链安全领域的深厚技术沉淀和丰富的落地实践经验。悬镜安全将继续以“代码疫苗”为技术内核，以轻松适配多业务场景的运行时“单探针”为应用载体，通过DevSecOps敏捷安全体系下闭环产品能力和轻量级积极防御体系，打造原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”，持续安全赋能软件开发全生命周期，从“安全左移”到“敏捷右移”，为用户全方位保驾护航，敏捷创新，共生进化，以新一代软件供应链安全产品及服务，知行合一守护中国软件供应链安全。

图6 扫描二维码，获得电子版《软件供应链厂商和产品名录》及全家福

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。悬镜专注于以“代码疫苗”技术为内核，通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续赋能金融、泛互联网、车联网、智能制造、能源及运营商等数千家行业标杆用户，帮助其构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网：www.xmirror.cn