悬镜灵脉IAST

Xmaze IAST Security Testing Platform

代码疫苗内核驱动的新一代交互式应用安全测试平台

申请试用

添加小镜
为您答疑解惑

左移的安全赋能

Earlier Security Empowerment

悬镜灵脉IAST灰盒安全测试平台是全球首个代码疫苗内核驱动的新一代交互式应用安全测试平台,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。

应用安全测试的进化

The Evolution of AST

DevOps开发模式的使用,使得开发项目从按月到周、天,甚至小时的频率加速进行。然而, 传统的SAST(静态应用安全测试)和DAST(动态应用安全测试)、人工渗透测试、人工代码检查等无法跟上现代软件开发部署的速度和规模。
如今,作为入选Gartner十大信息安全技术的IAST(交互式安全测试)技术,结合了SAST和DAST的优点,同时可保障低误报率和高检出率。灰盒测试的特性使IAST可以有效地应用于从开发到生产的全流程当中,让安全测试与SDLC无缝结合。

误报率 检出率 检测速度 第三方组件漏洞 语言支持 框架支持 漏洞验证利用 使用风险 使用成本 漏洞详情 CI/CD支持
DAST 随URL、Payload数量 依赖Payload、指纹 不区分语言 不区分框架 可验证利用 脏数据、大流量 较低 参数、请求响应
SAST 随代码量 静态扫描支持 区分不同语言 一定程度区分 很难验证利用 高,人工排查误报 代码行数、执行流
IAST 极低 依赖点击流量实时检测 运行态扫描 区分不同的语言 一定程度区分 可验证利用 低,基本没有误报 请求响应、代码行数、数据流

代码疫苗,内生免疫

All in One

基于悬镜首创的代码疫苗技术,灵脉IAST凭借一个智能单探针,统一融合SCA、RASP、DRA、APM等能力,仅需一次部署,即可解决应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险,减轻多探针运维压力的同时,将智能风险检测和积极防御逻辑注入到运行时的数字化应用中,如同疫苗一般与应用载体融为一体,使其实现对潜在风险的自发现和对未知威胁的自免疫,实现应用与安全的共生。
IAST
交互式应用
安全测试
SCA
软件成分分析
RASP
运行时应用
自防护
DRA
数据风险评估
API分析
APM
应用性能监测
应用漏洞热
修复

全域覆盖的检测能力

Comprehensive Vulnerability Detection

作为国内起步最早、发展最快、成熟度最高、市场占有率第一的IAST工具,灵脉IAST独具全场景多模式的漏洞检测技术,能够全面覆盖漏洞场景,多角度深入挖掘其他测试工具难以发现的安全缺陷及漏洞; 基于请求、代码、数据流、控制流综合分析判断漏洞,准确性高、误报率极低; 在检测时提供具体的定位信息,帮助开发人员迅速定位并修复问题,减少修复的时间和成本。

检测模式
主动插桩、被动插桩、流量代理/VPN、主机流量嗅探、旁路流量镜像、Web日志分析...
通用漏洞、逻辑漏洞、弱口令、敏感信息泄露、配置缺陷...
漏洞类型
Java、Go、PHP、Node.js、Python、.Net...
检测语言
物理机、虚拟机、Docker、Kubernetes、Servless...
部署环境

多源纵深的供应链风险治理

Multi-source Supply Chain Risk Management in Depth

灵脉IAST可精准检测应用实际运行过程中动态加载的第三方组件及依赖,识别引入的开源组件安全漏洞及开源许可证风险,并对漏洞的利用难度、许可证的兼容性给出可靠建议;
支持导入导出SBOM清单,快速建立供应链资产数据库;
同时接入XSBOM供应链安全情报,实现自动化获取情报-检测漏洞-验证漏洞-漏洞防护的过程。

深入追踪的数据安全

In-depth Data Security

灵脉IAST可追踪敏感数据在应用间产生-处理-流转-输出-存储-销毁的全生命周期,获取包含敏感信息接口的调用时间、调用来源、请求与响应等详细信息,并将结果关联至API;支持灵活定义敏感数据检测规则,并支持分类分级的数据安全治理,结合链路拓扑图,可视化展示敏感数据和漏洞风险的传递路径。

平滑无感的流程融合

Senseless Process Integration

悬镜灵脉IAST专为研发、测试、运维等非安全专家设计,简单易用的界面和自动化的检测能力使得任何人都可快速上手,变身安全专家。悬镜灵脉IAST可集成于悬镜夫子、Jira、Jenkins等第三方漏洞管理和项目管理平台,不改变原有的工作流程,不增加额外的工作内容,赋能安全小白在完成功能测试的同时获得安全测试结果。帮助企业无感高效地提升安全能力,轻松实践DevSecOps。

客户

Clients

原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。

        合作伙伴

        Partners

        携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps数字供应链安全落地实践,实现企业与安全共生。

        客户说

        Comments

        荣誉

        Awards

        • 福布斯

          中国科技50强

        • Forrester

          SCA、SAST技术代表厂商

        • International Data Corporation

          中国DevSecOps技术创新者

        • Gartner

          SCA技术代表厂商

        • CDM Group

          Next-Gen in Open-Source Security

        • Business Intelligence Group

          BIG Innovation Award

        • 互联网安全大会

          年度创新力十强

        • 中国信息通信研究院

          软件供应链优秀成果案例

        资质

        Certifications

        • 北京市科学技术委员会

          国家高新技术企业

        • 国家信息安全漏洞库

          CNNVD兼容性认证

        • 中国软件测评中心

          CAPPVD漏洞库支撑单位

        • 知识产权管理体系认证

          ddd

        • 北京市知识产权局

          北京市知识产权试点单位

        • 国际质量管理体系认证

          ISO9001

        • 国际信息技术服务管理体系

          ISO20000

        • 国际信息安全管理体系

          ISO27001

        从应用源头做威胁治理,构筑新一代敏捷安全体系

        顾问小镜

        悬镜安全

        在线咨询

        CHAT WITH US