中标喜报
近日,悬镜安全第三代DevSecOps数字供应链安全管理体系成功中标大型能源国企“数字供应链安全管理建设”项目,项目金额高达数百万元。悬镜安全作为国内数字供应链安全开拓者,一直致力于通过技术创新为行业用户提供卓越的产品服务。本次成功中标,充分体现了悬镜安全的技术实力和市场影响力,也是行业用户对悬镜安全多年来在数字供应链安全领域深耕细作的高度认可。
该用户作为国务院国有资产监督管理委员会直属的特大型国有企业,不仅是国内最大的海上原油及天然气生产商,也是全球最大的独立油气勘探及生产企业之一,连续多年入围《财富》世界五百强,主要业务范围包括油气勘探开发、专业技术服务、炼化销售及化肥、天然气及发电、金融服务、新能源等。
守护关键基础设施安全
落实数字供应链安全防护责任
随着开源软件和云原生技术的广泛应用,数字供应链变得愈加复杂和多样化。数字供应链已经成为国际网络空间攻防对抗的焦点,对我国关键基础设施和重要信息系统安全有着直接的影响。
引入开源软件虽然为敏捷开发带来了极大便利,但开源项目引用过程中缺乏对漏洞、恶意代码的检测和修复,开源软件使用不规范、软件交付渠道不可控等问题屡见不鲜。悬镜供应链安全情报中心在监测全球数字供应链风险情报时注意到,近年来在开源组件的引用过程中,供应链投毒事件及安全漏洞数量剧增。
点击获取详情👇
1供应链投毒预警|开源供应链投毒202404月报发布(含投毒案例分析)
2供应链投毒预警|恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击
3供应链高危漏洞披露|Winmail邮件系统曝出存储型XSS漏洞
该用户业务覆盖全球,在多个国家和地区开展油气勘探和生产活动,同时也积极参与国际油气市场的合作与竞争。近年来,该用户不断推进信息化建设,软件已成为辅助生产、管理和决策的重要手段。在此过程中,确保数字供应链的安全性成为信息化建设中的重要一环,全方位提升数字供应链的安全检测技术,是实现“本质安全”的重要手段。
悬镜第三代
DevSecOps数字供应链安全管理体系
悬镜安全以“代码疫苗”技术为内核,以积极防御框架为实战驱动,以运行时轻量级单探针为应用载体,构筑了原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系。在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下,为用户构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系,帮助数千行业用户构建安全、高效、智能的数字应用。
在数字供应链的四个关键管理阶段:引入、生产、交付和运营环节分别采用不同的风险治理措施,以确保覆盖全生命周期的数字供应链安全。
引入阶段
在软件源头引入安全审查能力,包括源代码质量缺陷和安全缺陷检测、开源组件漏洞/许可风险审查能力、SBOM物料清单检测能力和开源组件基线清单等,审查对象涵盖二进制、源码包、容器制品等。
生产阶段
在软件开发环节进行安全治理,对接DevOps平台、无缝集成CI/CD流程实现门禁控制,自动化执行SCA、IAST、DAST、SAST安全扫描,并进行供应商安全生产能力评估、供应采购软件安全检测、开源组件基线清单合规检测等,建立DevSecOps敏捷安全体系、加速安全开发周期。
交付阶段
持续对交付的二进制包、源码包、安装包、软件物料清单SBOM等进行上线审查,检测其API安全风险、开源组件漏洞/许可风险、容器镜像安全风险等,确保应用交付前的完整性和安全性。
运营阶段
在应用上线运营环节持续监测,基于RASP运行时自免疫、PTE自动化渗透测试、运行时SCA、供应链安全情报预警服务等能力,综合管理和响应安全事件。
该项目基于第三代DevSecOps数字供应链安全管理体系的落地实践,将为用户建立数字供应链全生命周期的安全管理,健全数字供应链安全综合防护体系,确保安全运营工作可管、可控、可审计,从而最大限度降低数字供应链安全风险,落实数字供应链安全防护主体责任。未来,悬镜将持续立足技术创新和产业实践,守护中国数字供应链安全。
