2022年3月22日,DevSecOps敏捷安全头厂悬镜安全正式宣布数亿元人民币B本轮融资由源码资本牵头,GGV纪远资本跟进投资,红杉中国继续支持。悬挂镜安全将进一步深化中国软件供应链安全关键技术创新研发和上下游产业生态前瞻性布局的战略投资,以下一代领先的敏捷安全框架DevSecOps在新兴应用场景下,如敏捷安全、软件供应链安全、云原生安全等,创建闭环的第三代悬镜DevSecOps智能适应威胁管理体系在华北、华东、华南、华中、西南、香港、澳门等地区不断升级大规模产品和服务的交付和运营能力,深入覆盖金融电子商务、能源电力、智能制造、电信运营商、泛互联网等企业级安全市场。
本轮领投人源码资本合伙人黄云刚表示:DevSecOps是云原生背景下安全敏捷化的必然趋势。以威胁管理为中心,整合各种工具链,DevSecOps该系统可以帮助企业将安全贯穿于开发到运营的软件的整个生命周期,并将成为企业数字基础设施的重要组成部分。我们对悬挂镜的安全非常乐观DevSecOps悬镜产品在技术前瞻性领域也得到了许多行业重要客户的认可。预计悬镜可以在IT加快云基础设施和日益复杂的安全环境,为客户创造巨大的价值。
本轮跟投方GGV纪远资本管理合作伙伴李宏伟表示:随着数字化和智能化的深入,软件和应用程序不断加快迭代周期和在线速度,敏捷开发和开源也得到了广泛的应用。在软件的生命周期中,随着发现阶段的进程,修复漏洞的成本呈几何级增长。目前,在代码开发阶段和在线之前,缺乏有效的产品进行有效的检测。悬挂镜的产品是为此创造的,并在大量的主要客户中积累了良好的声誉。GGV对这个年轻的团队持乐观态度,并将长期支持公司的发展。
PreA红杉中国董事总经理翟佳表示:将安全嵌入 DevOps 工艺形成 DevSecOps,符合当前敏捷发展需求趋势,使安全可以‘左移’和‘右移’。DevSecOps渗透到研发到运营的整个软件生命周期,与软件供应链的安全密切相关,可以有效地帮助企业在软件开发阶段实现数字应用漏洞的自动检测和修复,从而大大降低业务安全成本和风险,是网络安全的新兴和重要发展方向。在这一领域不断深入培育的悬挂镜具有一定的领先优势,建立了较深的行业障碍,业务进展迅速,扩大和沉淀了许多行业高质量的基准客户,发展前景长期乐观。
专注于悬镜安全DevSecOps软件供应链继续威胁一体化检测防御,其原创悬镜DevSecOps智能适应威胁管理体系主要涵盖从威胁建模、开源管理、风险发现、威胁模拟到检测响应等关键环节的开发和运营,以及软件供应链安全服务的软件供应链安全服务,帮助企业组织逐步建立适应自身业务灵活发展、面向敏捷业务交付、引领未来结构演进的内生积极防御体系。目前,中国人民银行、中国银联、中国银行、中国工商银行、上海浦东发展银行、重庆银行、广州农村商业银行、苏州农村商业银行、浙江商业银行、SHEIN、中国平安、中信建设投资证券、上海证券交易所、中国石化、中国石油、中国电信研究所、中国移动研究所、中国联通研究所、中国体育彩票、人民日报在线、国家电网、北京大学、ZTE、中国工程物理研究所、小鹏汽车、东风日产、长安汽车、中国汽车研究所、南方航空等行业基准用户。
敏捷安全治理从开发源头出发
根据第三方权威调查,软件应用中发生了近92%的已知安全漏洞,每1000行代码至少有一个业务逻辑缺陷。此外,78%-90%的现代应用程序集成到开源组件中,平均每个应用程序包含147个开源组件,67%的应用程序使用带有已知漏洞的开源组件。目前,绝大多数企业用户除了内部自检外,还发现了业务应用漏洞,主要来自外部第三方安全研究人员或安全制造商。在软件开发的整个生命周期中,不同阶段修复安全漏洞的成本差距明显,研发测试阶段和在线运行阶段的修复成本甚至可以相差数百倍。因此,在萌芽状态下消除漏洞风险和开源威胁,防止应用程序生病,确保软件供应链的安全是非常迫切和必要的。
其明星产品之一明星产品之一IAST灰盒安全测试平台作为悬镜DevSecOps通过新一代全场景实时数据流情景分析技术,如应用插桩(包括动态污点跟踪和交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发性爬虫等。Web日志实时分析等AI启发渗透测试技术赋能传统IT员工在甲方用户组织内迅速建立安全公测模式,使传统安全小白(如研发、测试、QA等)在完成应用功能测试的同时,可以透明实现深度业务安全测试,动态监控运行时的开源风险,准确覆盖95%以上的中高危漏洞,有效防止应用带病上线。
用智能攻防来衡量安全性和有效性
孙子兵法曾经说过:用兵的方法,没有依靠它,依靠我等待;没有依靠它不攻击,依靠我不能攻击。攻防对抗是网络安全建设过程中永恒的主题,是检验现有安全体系防御应对未知威胁的最直接方式,如持续的安全公开测试、不定期的攻防演练和辅以配套的检测响应手段。
另一款明星级产品灵脉悬镜安全旗下BAS智慧威胁模拟平台,作为悬镜DevSecOps自动化威胁模拟和安全验证平台节的自动威胁模拟和安全验证平台,率先在中国实现AI 威胁模拟智能攻防演练机器人系统创造性地将安全专家在大量渗透测试过程中积累的实践经验转化为机器可存储、识别和处理的结构化经验,在自动化测试过程中,借助人工智能算法不断做出自我思考和逻辑推理决策,以接近实际专家渗透测试的方式,从信息收集、扫描检测、漏洞发现、漏洞利用、渗透到持续验证的整个完整入侵模拟和安全测量过程,全面检查甲方用户现有安全防御措施的有效性,从真实黑客的角度不断动态评价目标组织的安全情况,大大弥补安全人员水平不均衡、效率低下的问题。
以代码疫苗赋能业务出厂免疫
随着云原生技术的快速发展和应用开源的快速普及DevSecOps实践的规模化落地,网络安全正在经历从边界安全到端点安全、再到应用安全的发展演进,下一代应用安全的技术重心将是运行时情境感知。
悬镜安全积极防御系统中的关键产品之一-云鲨RASP自适应威胁免疫平台DevSecOps通过专利级应用漏洞攻击免疫算法、运行时安全切面调度算法、Webshell深度AI检测引擎、深流学习算法等关键技术RASP与IAST关键技术深度整合,将主动防御能力注入到数字业务应用中,借助强大的应用情境分析能力,可以捕捉和防止各种绕过流量检测攻击(如分段传输、编码混淆变形、应用内存马等),提供业务视角和功能解耦内生主动安全免疫能力,为业务应用工厂默认安全免疫创新发展。
悬镜DevSecOps研究最新实践成果
结合多年的敏捷安全着陆实践经验和软件供应链安全研究成果,基于原专利级敏捷流程平台 关键技术工具链 组件软件供应链安全服务,探索了第三代悬镜安全DevSecOps智能适应威胁管理系统。
图1:第三代悬镜DevSecOps智能适应威胁管理系统
它作为DevSecOps全过程敏捷安全赋能平台,从建设之初就注重技术落地的柔和低侵入性,从驱动DevSecOps CI/CD通过威胁建模、开源治理、风险发现、威胁模拟、检测响应等关键技术创新,使企业组织现有人员,帮助用户逐步建立适应自身业务灵活发展、交付敏捷业务、引领未来结构演进的内生积极防御体系。
悬镜安全创始人兼CEO子芽在一次采访中说:安全的本质是风险和信任之间的动态平衡。多年来,悬挂镜一直在做的一件事是如何帮助甲方用户更好地拥抱变化,更快地适应云本地技术的普及,做好内生敏捷和安全工作。与过去传统的本地软件应用程序相比,我们可以看到一个非常明显的技术趋势。未来发布的绝大多数数数字应用程序将是安全和可信的。借助代码疫苗技术,可以实现自身缺陷和风险的自发现和外部未知威胁的工厂免疫。
图2:DevSecOps敏捷安全工具金字塔v2.0
DevSecOps敏捷安全工具金字塔新的深入研究实践成果,敏捷安全工具金字塔前瞻性地预测了未来DevSecOps为行业组织后续系统化安全建设指明了关键技术演进路线。