悬镜隶属北京安普诺信息技术有限公司旗下; 悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以“AI智能代码疫苗”技术为内核,凭借原创专利级“多模态SCA + AI智能代码疫苗+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
企业介绍
悬镜安全(简称:悬镜)成立于2014年,是一家专注于DevSecOps数字供应链安全领域的创新型硬核科技厂商,公司总部位于北京,在成都、长沙、上海、深圳、广州多地设研发中心和运营中心
提供自主研发专利级敏捷安全产品包含悬镜源鉴SCA开源威胁管控平台、悬镜灵脉AI开发安全卫士、悬镜灵脉IAST灰盒安全测试平台、悬镜云鲨RASP自适应云防御平台、悬镜夫子ASPM数字供应链安全态势感知平台、悬镜夫子SCS数字供应链安全管理平台以及悬镜灵脉PTE 自动化渗透测试平台在内的DevSecOps数字供应链安全管理体系,在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下,保障企业用户数字供应链安全风险的高效治理。
产业布局
敏捷安全产品(DevSecOps、DevOps CI/CD流水线)
以IAST为单探针切入点,通过原创“多模态SCA + AI智能代码疫苗+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,结合强大的DevOps战略生态联盟快速覆盖数字化转型场景下的敏捷安全需求。
创始人介绍
子芽,悬镜安全创始人兼CEO,《DevSecOps敏捷安全》作者,OpenSCA开源社区创始人,中国信通院软件供应链安全社区首席安全专家,中国信通院“云原生安全MVP”,腾讯云TVP技术专家,ISC互联网安全大会十周年代表性人物,2022 DSO敏捷安全大会出品人,拥有10年以上数字供应链安全技术研究实践经验。长期从事代码疫苗算法在数字供应链安全领域的创新研究,拥有多项原创发明专利授权,曾承担国家级重大网络安全项目和科研项目,首创的“DevSecOps智适应威胁管理体系”、“DevSecOps敏捷安全技术金字塔”等创新研究和实践成果目前已演进至第三代,在产业界影响颇深。
核心团队
蔡智强:悬镜安全数字供应链安全实验室负责人(技术合伙人),拥有10年以上工作经验,曾担任国内某顶级安全实验室高级研究员(智能汽车漏洞挖掘);曾发现特斯拉,宝马,奥迪,丰田,小米等多个知名厂商高危漏洞,首个宝马集团数字化及IT研发技术奖获得者。
核心技术
AI智能代码疫苗技术
悬镜安全在全球范围内首创专利级代码疫苗技术,作为数字供应链安全领域的关键核心技术,其旨在将智能风险检测和积极防御逻辑注入到运行时的数字应用中,如同疫苗一般与应用载体融为一体,使其实现对潜在风险的自发现和对未知威胁的自免疫。通过深度学习和大规模预训练模型,代码疫苗技术可以实时分析应用行为特征,智能识别异常模式,并持续优化防御策略。凭借强大的 AI 自适应能力,系统能够自主进化、持续优化防御规则,有效应对不断变化的网络威胁。代码疫苗技术在数字供应链积极防御体系中的应用研究,实现了相关重大技术在 0 DAY 漏洞防御、API 挖掘分析、代码疫苗热补丁等难点技术上的突破,解决了下一代数字免疫体系在“内生自免疫、敏捷自适应、共生自进化”等关键特性上的技术瓶颈,填补了国内在数字供应链安全领域的自有技术空白并解决了关键卡脖子问题,以“基于代码疫苗技术的智能单探针专利布局”为核心的发明专利更获得了来自北京市科委、中关村管委会的高度认可与大力支持。
积极防御体系
传统的安全措施主要依赖以多环节威胁发现与治理为基础的被动式纵深防御体系,已难以满足如今愈发复杂的数字战场。以OpenSCA/源鉴SCA、灵脉IAST、云鲨RASP/RASP SaaS、灵脉PTE等敏捷安全工具链构筑的新一代积极防御体系,可在应用上线前实现出厂免疫,上线后进行持续威胁模拟与安全效果度量,从而完成主动式全流程攻击面管理。积极防御体系强调更“敏捷”地应对软件运营侧的安全问题,通过在更贴近攻击者的视角精准地、系统地发现系统对外暴露的安全问题,以及通过激活预设在软件内部的安全防护机制实现自保护,让运营侧的安全更加“敏捷化”。
新一代DevSecOps数字供应链安全管理体系
作为下一代敏捷安全体系,以代码疫苗技术为内核,以积极防御框架为实战驱动,以运行时轻量级单探针为应用载体,通过基于原创专利级“多模态SCA + AI智能代码疫苗+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手,持续赋能从威胁建模、开源治理、风险发现、积极防御到安全度量等SDLC全流程的各关键环节,从构筑之初就注重技术落地的柔和低侵入性。
产品与服务
悬镜安全凭借多年技术攻关首创专利级AI智能代码疫苗技术和下一代积极防御框架,通过“多模态SCA + AI智能代码疫苗+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,提供敏捷安全全栈闭环产品和软件供应链安全组件化服务,协助行业用户建立DevSecOps CI/CD黄金管道,利用关键技术(IAST交互式应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护等)实现CI/CD工具链自动化,通过识别漏洞,实现漏洞信息统一规范性命名与标准化描述,及时修复漏洞为业务保驾护航。
1.DevSecOps敏捷安全全栈闭环产品
OpenSCA开源数字供应链安全社区
悬镜安全作为国内数字供应链安全开拓者,于2021年开创性提出“用开源的方式做开源风险治理”,并重磅创建了全球极客开源数字供应链安全社区OpenSCA,作为悬镜安全旗下源鉴SCA开源威胁管控产品的开源版本,OpenSCA是国内用户量最多、应用场景最广的开源SCA技术(中国信通院《中国DevOps现状调查报告2024》)。通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。
与传统的企业版SCA工具相比,OpenSCA展现了独特的优势。轻量级、易于使用,同时具备完整的功能,支持漏洞库、私服库的自主配置,能够适应IDE、命令行、云平台等多种使用场景。无论是离线还是在线,OpenSCA都能灵活地融入开发流程,为用户输出透明化的组件资产和风险清单。
此外,OpenSCA的持续创新也值得关注。随着新版本的发布,在解析引擎、SBOM生成转化、许可证合规管控等方面都展现了显著的进步。特别是对SBOM(软件物料清单)的支持,不仅能够生成国际三大主流SBOM格式,还支持中国首个数字供应链SBOM格式DSDX,这标志着OpenSCA在适应国内外市场需求方面迈出了重要步伐。
开源的本质是群智创新!感谢每一位社区成员对OpenSCA社区的贡献与支持。OpenSCA的代码会在GitHub、Gitee和GitCode持续迭代,欢迎来自全球用户的Star和Fork,也欢迎向社区提交ISSUE和PR,参与悬镜的数字供应链安全共建计划,用开源的方式做开源治理,让创新技术更普惠。
XSBOM供应链安全情报社区
XSBOM供应链安全情报社区是国内专注数字供应链安全风险智能防御的情报研究中心,依托悬镜安全团队强大的数字供应链SBOM全生命周期溯源管理与监测能力、AI应用安全大数据云端分析能力和OpenSCA开源数字供应链安全社区在代码成分安全上的活跃贡献,对全球数字供应链安全态势、投毒攻击事件、组件停服断供风险等进行实时动态监测与深度溯源分析。可基于云脉XSBOM数字供应链安全情报预警平台或以 SaaS 订阅的方式,为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务,帮助用户更快更轻松应对各种风险,智能精准预警“与我有关”的数字供应链安全威胁。
源鉴SCA开源威胁管控平台
OpenSCA的商业版本源鉴SCA,是国内首款运行态SCA产品,作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的数字供应链安全管理平台,在继承OpenSCA多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力的基础上,凭借专利级源代码和二进制成分分析双引擎驱动,结合悬镜专业全面的知识库,精准识别并分析应用软件成分,保证组件、漏洞及许可证的检出率及准确率,且支持更多主流开发语言解析、更多IDE开发工具集成、更多国际标准格式SBOM生成。 源鉴SCA是成熟的开源软件成分分析信息化应用创新产品,技术完全自主研发,安全可控,满足国内行业监管法规要求,同时兼容主流信创操作系统、CPU架构等基础运行环境,助力企业信创生态建设。
悬镜灵脉AI开发安全卫士
悬镜灵脉AI开发安全卫士是基于AI多模智能引擎的AI智能静态代码产品,提供源代码缺陷检测、合规检测、溯源检测三大能力,从源头识别安全风险,助力企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,保障研发高质量交付。
灵脉IAST灰盒安全测试平台
灵脉IAST作为悬镜第三代DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,融合DAST和SAST的优势,通过全场景流量分析技术如运行时应用插桩(含主动及被动)、启发式爬虫、终端流量代理/VPN、流量管家(主机流量嗅探、旁路流量镜像)、Web日志学习、启发式爬虫等,和原创AI渗透启发技术,基于请求、代码、数据流、控制流综合分析判断漏洞,使得在完成数字化应用功能测试的同时即可透明实现深度业务安全测试。漏洞测试准确性高,误报率极低,并且可以定位到API接口和代码片段。同时,灵脉IAST还加载了IAST以外悬镜的技术积累,除了可检测应用程序本身的安全弱点,还可以检测屡屡频发的业务逻辑漏洞、应用程序中依赖的第三方软件的版本信息和包含的公开漏洞,支持漏洞验证。
云鲨RASP自适应威胁免疫平台
云鲨RASP作为悬镜第三代DevSecOps智适应威胁管理体系中的积极防御平台,是基于运行时情境感知技术的新一代应用威胁免疫平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的共生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
悬镜夫子ASPM数字供应链安全态势感知平台
悬镜夫子ASPM数字供应链安全态势感知平台专注于保护软件应用开发全生命周期的安全性。随着敏捷开发和DevOps的普及,应用程序安全变得愈加复杂,夫子ASPM应运而生,通过持续评估、监控和增强安全态势,帮助企业有效应对不断演变的威胁。夫子ASPM平台通过全面收集和分析安全开发与检测的元数据,精准识别软件风险点,核心功能包括漏洞检测与修复、安全工具自动化编排、敏捷安全管理效果度量等。它能够自动收集和分析安全数据,识别漏洞并根据其严重性和业务影响进行优先级排序,确保关键问题优先处理。同时,通过集成多种安全工具,夫子ASPM提供统一的风险视图和管理接口,简化安全管理工作。此外,平台无缝集成到DevSecOps管道中,促进持续的安全评估和自动化修复流程,提升整体安全效率。最终夫子ASPM平台能通过智能化的安全态势感知和精准的风险管控,赋能企业实现开发安全的敏捷化和体系化管理。
悬镜夫子SCS数字供应链安全管理平台
悬镜夫子SCS软件供应链安全管理平台(以下简称“夫子SCS”)是悬镜安全推出的一款聚焦于企业软件供应链安全管理体系建设的平台级产品。夫子SCS从顶层视角出发,基于国内外法规政策要求,识别软件供应链管理各重点环节与核心任务,通过平台架构与功能设计,实现借助平台功能的使用完成软件供应链管理重点动作,借助功能的相互支撑实现企业管理体系各部门各角色间的相互配合。最终达到在平台上建设完成完整的企业软件供应链安全管理体系。 夫子SCS通过供应商风险管理、应用资产知识图谱测绘、安全工具扫描、漏洞影响面分析及优先级排序、漏洞情报、SBOM管理等功能实现的软件供应制品从引入时的供应商准入评审、软件依赖与组件风险台账梳理、供应商及产品法律合规风险监测、产品源代码缺陷组件风险等漏洞扫描、重大漏洞情报披露相关影响面分析、核心资产风险等级评估等重要场景下的软件供应链安全管理需求。
灵脉PTE持续威胁模拟平台
灵脉PTE作为悬镜DevSecOps智适应威胁管理体系中运营环节的威胁模拟平台,是国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,利用RNN深度学习算法模拟黑客入侵,可为用户提供持续性的网络安全验证与漏洞挖掘能力。灵脉PTE创造性地将白帽子在大量渗透过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验,在自动化测试过程中借助人工智能算法不断进行“智力”成长和逻辑推理决策,以贴近实际人工渗透的方式,对既定目标进行从信息收集到漏洞利用的完整渗透过程。主动发现演练目标的风险点,并实时展现渗透决策路径及渗透全景图,灵脉PTE打破传统网络安全风险评估平台针对威胁利用的单一性和不连贯性,在测试过程中更加注重多个风险点之间的关联利用,支持对目标的持续性安全检测,提供辅助渗透测试和安全隐患的解决方案,降低人工成本。
2.数字供应链安全组件化服务
数字供应链安全审查服务
将供应链风险相关审查及治理能力覆盖至上游数字应用采购引入审查、交付阶段下游部署上线及持续运营阶段。服务内容涵盖了数字应用资产台账梳理、数字供应链风险分析、软件代码风险审查等。
开源治理咨询
凭借在数字供应链安全领域的落地实践经验,帮助企业在内部形成体系化的开源软件全生命周期管理流程和规范,在软件开发、供应、使用环节进行常态化开源风险治理工作。
DevSecOps/SDL咨询
凭借在软件安全方面的丰富经验,提供专业的安全开发咨询服务。对企业现有的系统进行全面分析,根据企业业务规模、行业、目标、任务和遇到的挑战,通过全面地考虑安全解决方案来帮助建立合适的安全开发体系。
红蓝对抗/渗透测试
在客户授权许可的情况下,资深安全专家通过模拟黑客攻击的方式,对企业的网站或在线平台进行全方位渗透入侵测试,来评估业务平台和服务器系统的安全性。
发展历程
2014-2015 从0到1
悬镜安全团队正式成立,起源于北京大学网络安全技术研究团队“XMIRROR”,对外提供攻防演练、渗透测试、APT攻击模拟及二进制漏洞挖掘等专业安全服务,团队和品牌从零到一构筑,深耕企业级安全开发市场。
2016-2018 技术沉淀
发布基于新一代IT战略框架的悬镜DevSecOps智适应威胁管理体系V1.0。
基于动态污点追踪技术的新一代会和安全测试平台灵脉IAST V2.0发布。
发布DevSecOps智适应威胁管理体系V2.0,以AI技术赋能开发安全,实现技术闭环的全流程威胁管理。
2019-2021 商业进阶
DevSecOps智适应威胁管理体系的核心产品及解决方案陆续在金融、车联网、泛互联网等多个行业头部标杆用户场景中落地实践。
举办以“ 安全从供应链开始”为主题的中国首届“DevSecOps 敏捷安全大会 (DSO 2021),并正式发布“DevSecOps 敏捷安全技术金字塔 V2.0”。
发布全球首款企业级 OpenSCA 技术,用开源的方式做开源风险治理。
2022-202N 持续引领
专注于以“代码疫苗”技术为内核,大规模推广应用第三代DevSecOps智适应威胁管理体系及敏捷安全全栈闭环产品,持续守护中国数字供应链安全;迅速壮大北京总部、华东、华南、西南、华中及华北分部力量,形成全国分布式本地化技术支撑体系。
发布基于积极防御框架的悬镜 DevSecOps 智适应威胁管理体系 V3.0,以代码疫苗技术赋能数字供应链安全形成以威胁建模、开源治理、风险发现、积极防御和安全度量等关键技术闭环的全流程威胁管理。
举办以“共生·敏捷·进化”为主题的DSO2022,并正式发布“DevSecOps 敏捷安全技术金字塔 V3.0”。