近期,中国信息安全测评中心公布2023年度国家信息安全漏洞库技术支撑单位名单,悬镜安全顺利通过了中国信息安全测评中心持续数月的测评与审核,荣获“国家信息安全漏洞库(CNNVD)技术支撑单位 等级证书”,正式成为CNNVD技术支撑单位。
图1 CNNVD技术支撑单位等级证书
国家信息安全漏洞库(英文简称:CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为大陆信息安全保障提供基础服务。
基于行业内广泛的实践落地经验,悬镜安全能够在日常漏洞行为检测中为CNNVD提供全面、专业的技术支持和服务,通过整合业内资源, 联合技术支撑单位,提高重大漏洞和重要安全事件的发现、分析、处置能力,进一步助力信息安全漏洞研究、事件解读,进一步助力信息安全漏洞研究、事件解读,共同推进信息安全事业的发展,协助行业共同提高大陆信息安全漏洞/事件的研究水平和通报能力。
覆盖应用全生命周期的漏洞检测与定位能力
基于多年沉淀的All In One智能代码疫苗技术,悬镜安全衍生并迭代形成了原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,为广大数字化应用提供威胁免疫安全基因。悬镜通过旗下全球极客开源安全社区OpenSCA及其商业版源鉴SCA、灵脉IAST 、云鲨RASP、灵脉SAST及夫子ASOC敏捷安全赋能平台等软件供应链安全核心产品,从源头治理到上线运营治理,打造了数字供应链全流程风险治理框架。
图2 悬镜第三代DevSecOps智适应威胁管理体系
该体系的核心分为“源头治理、研发过程治理、上线运营治理”这三个阶段,其中又分为“准备、采购、开发、交付、部署和运营”六个环节,在每个环节通过DevSecOps敏捷安全工具链及配套的软件供应链模块化安全服务,从源头追踪软件供应链在开发、测试、部署、运营等关键环节所面临的应用安全风险与未知外部威胁,提供数字供应链全生命周期的安全管理,持续安全赋能DevSecOps全流程,高效实现业务应用敏捷迭代过程中的“安全左移(源头安全治理)”和“敏捷右移(持续安全运营)”,有效降低企业用户业务安全风险。
打造用户数字化转型进程中的安全屏障
随着近年来全球各类不稳定因素增多,全球的供应链安全局面也在时刻受到威胁。因此,各行各业的供应链要在实现数字化、智能化升级的同时,也要确保本身数字供应链的安全稳定,这对于行业高质量发展、筑牢中国数字供应链安全体系具有重要意义。
基于此,悬镜安全通过将代码疫苗技术进行深度耦合,打造闭环的供应链安全风险治理解决方案,同时结合自身深厚的底层技术积累以及领先的全流程安全管理产品,帮助用户建立起统一的漏洞管理机制。以夫子ASOC敏捷安全赋能平台为基础,以统一平台集成编排各自动化安全工具,实现漏洞风险、系统健康度、产品风险的综合关联分析,并确定修复优先级,可实现漏洞数据统一分析及整体关联全程治理。
图3 夫子ASOC平台实践流程图
1. 全方位确保企业实现数字化转型:在应用上线前后主动发现风险并持续监控,降低企业运营成本的同时消除数字化和自动化所带来的的安全隐患;助力企业研发人员更快地构建安全且高质量的软件,通过轻量级威胁建模和自动化的安全检查,开发团队在保证开发效率的同时提高了生产质量。
2. 全面管理应用风险并提升应用安全性:复杂的环境、数据和软件会使应用程序更容易出现漏洞并增加安全风险,悬镜安全将IAST、SCA、RASP技术进行深度耦合,打造闭环的供应链安全风险治理解决方案,帮助用户全面测试和保护应用软件,并强化应用程序的安全性,当安全团队与开发团队通过自动化流程进行合作时,显著降低安全团队与开发团队合作过程中的沟通成本和工作量,显著提升应用安全性。
3. 打造系统自我检测、防御的共生免疫能力:对于应用系统而言,底层核心是代码逻辑。“代码疫苗技术”在经过广泛的打磨和金融、泛互联网、车联网等标杆行业用户场景的验证后,凭借表现在轻量化、漏洞响应、性能和DevOps生态四个层面的技术创新优势,代码疫苗技术可突破性地将安全能力柔和融入到业务应用的运营阶段。将智能风险检测和积极防御逻辑注入到运行时的数字化应用中,如同疫苗一般与应用载体融为一体,使软件自身的业务代码和检测防护代码融为一起,通过代码疫苗技术使其具备主动免疫和主动防御能力。
在悬镜安全看来,不断推进国产安全治理平台核心技术自主可控,是安全信创产业发展的关键基础,是实现大陆数字强国建设的必由之路。此次悬镜安全成为国家信息安全漏洞库(CNNVD)技术支撑单位,为负责建设运维的国家级信息安全漏洞数据管理平台提供技术支撑,为大陆信息安全保障提供服务,持续守护中国数字供应链安全。