左移的安全赋能
Earlier Security Empowerment
悬镜灵脉IAST灰盒安全测试平台作为一款次世代智慧交互式应用安全测试产品,采用前沿的深度学习技术,融合领先的IAST产品架构,使安全能力左移前置,将精准化的应用安全测试高效无感地应用于从开发到测试的DevSecOps全流程之中。
应用安全测试的进化
The Evolution of AST
传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)。SAST对应用程序源代码进行白盒分析。分析是在代码的静态视图上运行的,这意味着代码在被检测时并没有运行,SAST的误报率无法得到有效控制,并且难以适用处于生产阶段的系统。DAST对应用进行黑盒测试,无法访问代码细节。DAST产品不用关注底层的技术和平台,因此使用度更广泛,准确率也有不错的保障。但DAST的技术特性决定了其高漏报率的结果,且无法应用于应用的研发阶段。而如今,作为入选Gartner十大信息安全技术的IAST(交互式安全测试),结合了SAST和DAST的优点,低误报率和高检出率同时得到了保证。灰盒测试的特性使IAST可以有效地应用于从开发到生产的全流程当中,让安全测试与SDLC无缝结合。
多源纵深的SCA分析
Multi-source SCA in Depth
灵脉IAST可精准识别应用开发过程中,软件开发人员有意或违规引用的开源第三方组件,并通过智能软件成分分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。相比传统SCA检测平台,灵脉IAST更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础上进行深度且更加有效的威胁分析。
全面快捷的容器镜像扫描
Comprehensive Docker Image Threat Scan
在Docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像能免于漏洞侵袭。灵脉IAST可以扫描容器仓库内的镜像,发现相关镜像的威胁漏洞、安装的Package、敏感信息、Malware等,使用户及时全面地获知容器镜像中的不安全因素并及时排除,防患于未然。
平滑无感的流程融合
Senseless Process Integration
悬镜灵脉IAST专为研发、测试、运维等非安全专家设计,简单易用的界面和自动化的检测能力使得任何人都可快速上手,变身安全专家。悬镜灵脉IAST可集成于悬镜夫子、Jira、Jenkins等第三方漏洞管理和项目管理平台,不改变原有的工作流程,不增加额外的工作内容,赋能安全小白在完成功能测试的同时获得安全测试结果。帮助企业无感高效地提升安全能力,轻松实践DevSecOps。
准确高效的
DevSecOps实践
Advanced Practice of DevSecOps
悬镜灵脉IAST内置的轻量级AI插桩程序,能够自动化地进行漏洞验证,并定位漏洞代码的位置。解决了传统产品的高误报结果让研发和测试人员手足无措的窘境,帮助应用研发团队无感高效地提升安全能力。为赋能企业的DevSecOps实践,悬镜灵脉IAST让零误报成为了现实。
*DevSecOps在美国RSA大会上被提出,其核心理念为安全需要贯穿从开发到运维整个业务生命周期的每一个环节才能提供有效保障。
拒绝高成本和高风险
Reject High Cost and Risk
在应用生命周期中,修复漏洞的成本随着发现漏洞阶段的进程成几何级数增长,而传统的DAST产品受限于自身特性,只能作用于应用发布时和上线后,无法在漏洞出现的早期做出有效检测,造成后续修复成本高昂。悬镜灵脉IAST将漏洞检测能力前置,可应用于从研发阶段到运营阶段的全流程当中,帮助开发和测试部门在项目早期就可以检测和修复漏洞,从而降低企业的成本和风险。
传统漏洞检测产品
-
编码
-
测试
-
发布
-
运营
检测能力
vs悬镜灵脉IAST灰盒测试平台
-
编码
-
测试
-
发布
-
运营
双模式检测能力
内置AI启发/嗅探双扫描模式。高效的第二代爬虫页面抓取能力和强大的规则更新能力保证了嗅探扫描模式的出色表现。在此基础上,灵脉更拥有前瞻性的AI启发渗透模式,应用深度学习技术,解决了传统漏扫产品无法检测业务逻辑漏洞的固有问题。
高效率检测场景
采用交互式灰盒系统,使得企业可零门槛进行安全渗透测试。灵脉可简单快速地帮助企业客户建立内部安全众测模式,在不增加传统功能测试工作量的基础上,近乎零成本完成项目的安全测试工作。
多平台检测支持
传统漏扫产品仅支持单一平台漏扫,灵脉在网站漏洞检测功能的基础上,还实现了对主机系统、移动APP的多平台综合检测能力,使客户能够一站式系统地对各平台应用做出综合的分析评估。
多样化部署方案
根据客户使用环境提供多种部署方案:私有化硬件部署,部署简单,迁移便捷;云主机软件部署,灵脉的分布式架构,使其拥有强大的漏扫性能以及近乎无限的性能扩展能力;API能力输出,可帮助客户将漏扫功能集成在自有网站平台之中,与客户业务无缝整合。
客户
Clients
原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
合作伙伴
Partners
携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps落地,实现客户业务与安全融合增长。
客户说
Comments
荣誉
Awards
-
福布斯
中国科技50强
-
Forrester
SCA、SAST技术代表厂商
-
International Data Corporation
中国DevSecOps技术创新者
-
Gartner
SCA技术代表厂商
-
CDM Group
Next-Gen in Open-Source Security
-
Business Intelligence Group
BIG Innovation Award
-
互联网安全大会
年度创新力十强
-
中国信息通信研究院
软件供应链优秀成果案例
资质
Certifications
-
北京市科学技术委员会
国家高新技术企业
-
国家信息安全漏洞库
CNNVD兼容性认证
-
中国软件测评中心
CAPPVD漏洞库支撑单位
-
知识产权管理体系认证
ddd
-
北京市知识产权局
北京市知识产权试点单位
-
国际质量管理体系认证
ISO9001
-
国际信息技术服务管理体系
ISO20000
-
国际信息安全管理体系
ISO27001
从应用源头做威胁治理,构筑新一代敏捷安全体系