腾讯专访 | 子芽:代码疫苗技术,赋能数字化应用内生安全自免疫
“DevSecOps市占率持续领先,IAST探针覆盖率十倍增长,代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽向腾讯云启的采访者透露道。
这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者,子芽是这家企业的创始人。
图1:悬镜安全创始人&CEO子芽
身处DevSecOps赛道的产业安全服务商更专注于把安全能力贯穿企业用户整个SDLC业务生命周期的每个环节,要求开发、测试、运营一体化,从而帮助用户构建起适应敏捷开发模式的新一代应用安全体系。
悬镜安全是其中的佼佼者。去年,第三方调研与咨询权威机构发布了《2021年度中国数字安全能力图谱》,悬镜是DevSecOps领域唯一代表厂商,同时还入选以下领域:软件成分分析能力者、代码检测与审计能力者、安全开发生命周期能力者、云原生安全创新者。
将时间线往后移,在刚刚过去的3月份,悬镜安全宣布完成数亿元人民币B轮融资,融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。
图2:悬镜安全受到资本巨头青睐
不仅如此,在过去的几年时间里,悬镜安全还和腾讯包括安全在内的多条业务线密切合作,联合探索着中国网络安全的新范式。
悬镜安全之所以作为DevSecOps敏捷安全领导者而站在聚光灯下,正是由于其一直以来坚持技术应用创新,沉淀出诸如“代码疫苗”、“代码核酸检测”等自主原创发明的关键应用安全技术,并结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,作为新一代敏捷安全框架,已成功帮助上千家企业构筑了一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
一、国际领先的“代码疫苗技术”
“数字化经济时代,软件供应链安全保障工作已从关注开发安全进化到安全地开发。”在子芽看来,安全正在成为企业数字化的基本属性。
诚然如此。在过去的多年时间里,数字化应用的安全维护更多是针对上线后环节,帮助企业在运营端完成安全筛查,进而保证数据和使用层面的安全。
但相对而言,尤其是伴随着如今上云的大趋势,这种单纯基于运营端的安全维护已经不能满足企业的安全需求。以渗透测试为例,基于这种安全威胁方式,会发现有很大一部分比例的威胁是来自上线前环节。
用子芽的说法就是,新时代的安全运营既“安全左移”,从开发源头侧规避掉各种中高危安全风险,进而实现更高效的前置安全治理;又要“敏捷右移”,在云原生时代结合企业数字化业务发展实情和IT进化趋势搭建更加有效的内生积极防御体系。
这正是悬镜安全主打的原创专利级“代码疫苗技术”所能实现的。顾名思义,就是把这项技术像疫苗一样注入到应用服务器内部,在内部清晰看到解析后的流量,感知业务运行过程的情境上下文。这样一来,既能诊断应用自身存在的漏洞和缺陷,也能积极防御外部危险,进行自主检测和响应。
代码疫苗技术所涵盖的基于单探针插桩的智能IAST技术和RASP技术,被国际权威研究分析机构Gartner数年列在十大安全技术中。悬镜安全旗下的灵脉IAST灰盒安全测试平台和云鲨RASP自适应威胁免疫平台正是基于“悬镜第三代DevSecOps智适应威胁管理体系”,并创造性地提出“单探针”思想和积极防御体系,深度整合“代码核酸检测技术”和“代码疫苗技术”的智能分析算法,使用户只需在应用中部署一次探针就能自动获得进阶版的IAST和RASP双重能力。
“不仅检测精度大大超过传统的黑盒白盒安全测试技术,顺滑兼容企业自身现有的软件开发平台,还可以实现数字化应用在开发部署阶段就能获得对类似‘Log4j2.x’等重大漏洞攻击及未知威胁的出厂免疫。”
二、独创第三代DevSecOps智适应威胁管理体系
基于“代码疫苗技术”,悬镜安全到底能为企业提供哪些服务?
从更大视角来看,悬镜安全可以为企业提供的是一套覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,即前文提到的悬镜第三代DevSecOps智适应威胁管理体系。
图3:悬镜第三代DevSecOps智适应威胁管理体系
悬镜明星产品灵脉IAST灰盒安全测试平台,是DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,基于这款产品和悬镜创新自研的“代码核酸检测技术”,企业可以在自家产品功能测试的同时,透明自动化地完成代码核酸分析和深度安全测试,有效防止应用带“病”上线。
还有云鲨RASP自适应威胁免疫平台,作为DevSecOps智适应威胁管理体系中运营环节的检测响应平台,通过创新自研的“代码疫苗技术”,可以将主动防御能力“注入”到数字化业务应用中,为其提供兼具业务透视和功能解耦的内生主动安全免疫能力,保证其出厂的原生安全。
再比如灵脉BAS自动化模拟攻击平台,其定位是DevSecOps智适应威胁管理体系中运营环节的自动化威胁模拟和安全验证平台,它在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,可以全方位检验企业现有安全防御措施的有效性,是悬镜积极防御体系的重要一环。
此外,悬镜第三代DevSecOps智适应威胁管理体系还包括作用于开源治理环节的源鉴OSS开源威胁管控平台,提供情境式需求分析和威胁建模的夫子ATM自动化威胁建模平台,覆盖整个开发流程的夫子CARTA安全开发赋能平台以及一整套软件供应链安全组件化服务。
三、市场应用率持续领先的硬科技创新产品
“上线前的业务安全诊断常常是企业用户找到我们的最初和最刚性需求,通过基于IAST的代码核酸检测为抓手,创新产品和服务为支撑,帮助企业逐步构建一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。”子芽表示,“一般都是通过这种由点及面的方式来做好用户体验。”
在过去的三年时间里,在悬镜安全的用户版图中,已然出现了诸多大型甚至超大型用户,如中国人民银行、中国银联、中国银行、中国工商银行、浦发银行、平安集团、上海证券交易所、北京大学、中兴通讯、中国工程物理研究院、小鹏汽车、东风日产、长安汽车、中国汽车研究院、南方航空、顺丰速运、唯品会等众多行业标杆用户。
图4:悬镜安全标杆用户
客观来看,悬镜安全更多的是基于PLG产品力创新驱动的模式进行服务,即基于产品的能力和技术成熟度实现不间断的发散和裂变,进而完成对金融电商、泛互联网、车联网、电信运营商、能源电力等企业级安全市场的深度覆盖。中国信息通信研究院权威发布的《中国DevOps现状调查报告》显示,悬镜IAST技术占据市场应用率第一。
四、强强联合,守护中国软件供应链安全
在持续领跑DevSecOps赛道的同时,悬镜安全还和腾讯携手,在云原生安全和软件供应链安全等新兴应用场景下,联合推出敏捷安全新范式。
无论是专有云还是公有云,都有着密切的技术联动和产品协同。在专有云侧,悬镜安全和腾讯进行底层产品上的联动,以安全为数字化核心底层能力,帮助企业实现数字化转型。在公有云侧,基于悬镜安全的天然云原生属性,腾讯和其一起打磨诸多行业数字化解决方案,进而为众多产业企业提供成熟且可靠的安全数字化范本。
据了解,在过去的两年时间里,悬镜安全与腾讯在多个产业数字化项目上深度合作,比如数字广西、数字云南等,通过技术的强强联合为用户提供更优质的产品服务体验。
写在最后
在采访中,子芽向我们阐述了对悬镜安全未来的期望:“创新永远在路上,不管是当下还是未来,我们保持做一家持续有干货技术、有创新好产品的硬科技企业,有足够的能力守护好中国的软件供应链安全。”
对悬镜安全和腾讯来说,这样的使命也正在成为新的前行动力,通过技术的强强联合为产业用户提供更加优质的产品服务。
关于悬镜安全
悬镜安全,DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以AI技术赋能敏捷安全,专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务,为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网:www.xmirror.cn
腾讯专访 | 子芽:代码疫苗技术,赋能数字化应用内生安全自免疫相关推荐
- 第一财经专访张晨:图技术赋能金融领域进入全新阶段
2023世界人工智能大会期间,创邻科技创始人兼CEO张晨博士受邀走进第一财经的演播室,围绕人工智能技术和图技术在金融行业的赋能展开讨论,为线上数万名观众分享精彩前沿观点. 现场直击 AI赋能金融 大模 ...
- 直播回顾 | 子芽CCF TF:云原生场景下软件供应链风险治理技术浅谈
CCF TF(技术前线委员会,Tech Frontier Committee)是中国计算机学会(CCF)为企业界计算机专业人士创建的企业间常态化合作交流平台,创始委员由Intel.LinkedIn.M ...
- 子芽新书《DevSecOps敏捷安全》 如约而至
悬镜安全.OpenSCA创始人子芽 10年沉淀首次公开 10位学术界和企业界权威安全技术专家 联袂推荐 内容简介 这是一本体系化讲解DevSecOps敏捷安全的实战性著作,为企业应对软件开发方式敏态化 ...
- 子芽:研发一款好用的代码安全疫苗是悬镜的长期责任
近日,金融行业IAST技术实践活动在深圳圆满召开,本次活动由悬镜安全协办,其创始人兼CEO子芽受邀出席本次活动并带来<DevSecOps 敏捷安全技术落地实践探索>为主题的技术分享,现场详 ...
- 关于低代码真实技术趋势,听低代码巨头 Mendix 怎么说
作者 | 宋慧 出品 | CSDN云计算 在 2021年初正式宣布进入中国市场 之后,Mendix 在近日向媒体重点披露了关于低代码的技术方法论,以及近四个月在中国市场的进展. Mendix 的低代码 ...
- ASP.NET重用代码技术 - 代码绑定技术
作者: 苏红超 导读 代码绑定是ASP.NET提供的一个重要的新技术.本文将会为您展示如何利用代码绑定技术来实现Web页面表示层和商业逻辑代码的分离,并建议您使用代码绑定技术实现代码的可重 ...
- 首发 | 腾讯把需求和代码统一的内幕
DevOps是很全面的概念,站在某一角度或少只能代表一部分看法.特别在大型企业,不同团队有不同的职责,决定了各自会关注不同的方向. 本次会场可以说是DOIS主办方的一次突破性尝试,三位讲师来自腾讯的不 ...
- 本月腾讯,阿里,美团等技术团队的精品文章推送
[回复"1024",送你一个特别推送] 原创很累,很辛苦,所以我经常是约稿和挑选很多精品的文章推送给大家.我有时不生产内容,但是我是精品内容和技术文章的搬运工.今天的分享来自于腾讯 ...
- 被黑客们使用的代码混淆技术
长久以来,代码混淆技术一直都被认为是不能登大雅之堂的奇巧淫技,没有哪个学者会拿正眼瞧它一眼.国际C语言混乱代码大赛(International Obfuscated C Code Contest,IO ...
- 腾讯AI战略详解:技术社会与创新图景 | 2017互联网科技创新白皮书重磅首发
来源:腾讯研究院 概要:11月8日上午,以"开放·创想"为主题的2017腾讯全球合作伙伴大会在成都开幕. 11月8日上午,以"开放·创想"为主题的2017腾讯全 ...
最新文章
- Nginx之反向代理、日志格式、集群、缓存、压缩、URl 重写,读写分离配置
- OpenGL研究, GUI框架分析, 虚拟机比较, Win10历险记, WxWidget, uboot, WireShark
- YBTOJ洛谷P3209:平面图判定(2-SAT)
- JPA教程:映射实体–第1部分
- Centos7中Memcached安装使用说明
- 【操作系统】Semaphore处理读者-写者问题
- SQL注入攻击及防范
- 8道python练习题,能做出来的没几个
- 互联网巨头的“搜索”暗战
- 能识别nvme的pe启动_【腾讯WeTest干货分享】机器学习在启动耗时测试中的应用及模型调优...
- matlab仿真卫星导航接收机信号干扰,卫星导航软件接收机多采样率信号处理技术...
- 计算机拼音字体大小设置,拼音字体
- Python基础-Week2
- iOS日历攻略:提醒调休并过滤法定节假日
- uva10827-Maximum sum on a torus(矩阵最大和的变形)
- 读《弗洛伊德:作家与白日梦》
- echarts之toolbox-x,y
- word-break 换行
- 服务器物理机如何实现系统快照,Lvm快照实现物理备份之自动化
- 真正的通过手机控制PPT播放