悬镜灵脉IAST

Xmaze IAST Security Test Platform

基于深度学习技术的新一代交互式应用安全测试平台

申请试用

添加小镜
为您答疑解惑

左移的安全赋能

Earlier Security Empowerment

悬镜灵脉IAST灰盒安全测试平台作为一款次世代智慧交互式应用安全测试产品,采用前沿的深度学习技术,融合领先的IAST产品架构,使安全能力左移前置,将精准化的应用安全测试高效无感地应用于从开发到测试的DevSecOps全流程之中。

应用安全测试的进化

The Evolution of AST

传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)。SAST对应用程序源代码进行白盒分析。分析是在代码的静态视图上运行的,这意味着代码在被检测时并没有运行,SAST的误报率无法得到有效控制,并且难以适用处于生产阶段的系统。DAST对应用进行黑盒测试,无法访问代码细节。DAST产品不用关注底层的技术和平台,因此使用度更广泛,准确率也有不错的保障。但DAST的技术特性决定了其高漏报率的结果,且无法应用于应用的研发阶段。而如今,作为入选Gartner十大信息安全技术的IAST(交互式安全测试),结合了SAST和DAST的优点,低误报率和高检出率同时得到了保证。灰盒测试的特性使IAST可以有效地应用于从开发到生产的全流程当中,让安全测试与SDLC无缝结合。

多源纵深的SCA分析

Multi-source SCA in Depth

灵脉IAST可精准识别应用开发过程中,软件开发人员有意或违规引用的开源第三方组件,并通过智能软件成分分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。相比传统SCA检测平台,灵脉IAST更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础上进行深度且更加有效的威胁分析。

全面快捷的容器镜像扫描

Comprehensive Docker Image Threat Scan

在Docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像能免于漏洞侵袭。灵脉IAST可以扫描容器仓库内的镜像,发现相关镜像的威胁漏洞、安装的Package、敏感信息、Malware等,使用户及时全面地获知容器镜像中的不安全因素并及时排除,防患于未然。

平滑无感的流程融合

Senseless Process Integration

悬镜灵脉IAST专为研发、测试、运维等非安全专家设计,简单易用的界面和自动化的检测能力使得任何人都可快速上手,变身安全专家。悬镜灵脉IAST可集成于悬镜夫子、Jira、Jenkins等第三方漏洞管理和项目管理平台,不改变原有的工作流程,不增加额外的工作内容,赋能安全小白在完成功能测试的同时获得安全测试结果。帮助企业无感高效地提升安全能力,轻松实践DevSecOps。

准确高效的
DevSecOps实践

Advanced Practice of DevSecOps

悬镜灵脉IAST内置的轻量级AI插桩程序,能够自动化地进行漏洞验证,并定位漏洞代码的位置。解决了传统产品的高误报结果让研发和测试人员手足无措的窘境,帮助应用研发团队无感高效地提升安全能力。为赋能企业的DevSecOps实践,悬镜灵脉IAST让零误报成为了现实。

*DevSecOps在美国RSA大会上被提出,其核心理念为安全需要贯穿从开发到运维整个业务生命周期的每一个环节才能提供有效保障。

s

拒绝高成本和高风险

Reject High Cost and Risk

在应用生命周期中,修复漏洞的成本随着发现漏洞阶段的进程成几何级数增长,而传统的DAST产品受限于自身特性,只能作用于应用发布时和上线后,无法在漏洞出现的早期做出有效检测,造成后续修复成本高昂。悬镜灵脉IAST将漏洞检测能力前置,可应用于从研发阶段到运营阶段的全流程当中,帮助开发和测试部门在项目早期就可以检测和修复漏洞,从而降低企业的成本和风险。

传统漏洞检测产品

  • 编码
  • 测试
  • 发布
  • 运营

检测能力

vs

悬镜灵脉IAST灰盒测试平台

  • 编码
  • 测试
  • 发布
  • 运营

双模式检测能力

内置AI启发/嗅探双扫描模式。高效的第二代爬虫页面抓取能力和强大的规则更新能力保证了嗅探扫描模式的出色表现。在此基础上,灵脉更拥有前瞻性的AI启发渗透模式,应用深度学习技术,解决了传统漏扫产品无法检测业务逻辑漏洞的固有问题。

高效率检测场景

采用交互式灰盒系统,使得企业可零门槛进行安全渗透测试。灵脉可简单快速地帮助企业客户建立内部安全众测模式,在不增加传统功能测试工作量的基础上,近乎零成本完成项目的安全测试工作。

多平台检测支持

传统漏扫产品仅支持单一平台漏扫,灵脉在网站漏洞检测功能的基础上,还实现了对主机系统、移动APP的多平台综合检测能力,使客户能够一站式系统地对各平台应用做出综合的分析评估。

多样化部署方案

根据客户使用环境提供多种部署方案:私有化硬件部署,部署简单,迁移便捷;云主机软件部署,灵脉的分布式架构,使其拥有强大的漏扫性能以及近乎无限的性能扩展能力;API能力输出,可帮助客户将漏扫功能集成在自有网站平台之中,与客户业务无缝整合。

客户

Clients

凭借悬镜原创“DevSecOps智适应威胁管理体系”新一代敏捷安全解决方案,不断为金融、能源、电力、运营商及教育等行业用户持续赋能,合力构筑适应甲方业务弹性扩展并面向敏捷业务交付的内生安全开发运营体系。

        合作伙伴

        Partners

        携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps落地,实现客户业务与安全融合增长。

        客户说

        Comments

        荣誉

        Awards

        • 赛可达实验室

          年度优秀产品

        • 赛迪顾问

          年度创新企业奖

        • 中国软件技术大会

          年度最佳产品

        • 中国国际软交会

          最佳数字化转型实践

        • 网络安全金帽子

          年度优秀安全产品

        • 网络安全(中国)论坛

          优秀解决方案奖

        • 赛可达实验室

          东方之星安全认证

        • 中国网络安全创新评选

          年度创新产品

        资质

        Certifications

        • 北京市科学技术委员会

          国家高新技术企业

        • 中关村科技园区管理委员会

          中关村高新技术企业

        • 中国信息安全认证中心

          信息安全风险评估服务资质

        • 中国信息安全认证中心

          信息安全应急处理服务资质

        • 国际信息安全管理体系

          ISO27001

        • 国际信息技术服务管理体系

          ISO20000

        • 国际质量管理体系

          ISO9001

        • 国家安全信息测评中心

          信息安全服务资质

        从应用源头做威胁治理,构筑新一代敏捷安全体系

        顾问小镜

        悬镜安全服务号

        悬镜DevSecOps
        实践营

        在线咨询

        CHAT WITH US