品牌簡介
懸鏡安全(簡稱:懸鏡)成立於2014年,是一家專注於DevSecOps數字供應鏈安全領域的創新型硬核科技廠商,總部位於北京,先後成立了西南(成都)研發中心、華中(長沙)研發中心、華南(深圳、廣州)運營中心、華東(上海、杭州)運營中心、華北(天津)研發中心和華中(武漢)運營中心。
懸鏡始終堅守PLG產品創新驅動價值增長的商業理念,憑藉多年技術攻關首創專利級代碼疫苗技術和下一代積極防禦框架,提供自主研發的包含OpenSCA/源鑒SCA開源威脅管控平台、靈脈IAST灰盒安全測試平台、雲鯊RASP自適應威脅免疫平台、靈脈SAST白盒安全測試平台、靈脈PTE持續威脅模擬平台、夫子ATM自動化威脅建模平台以及夫子ASOC敏捷安全賦能平台在內的DevSecOps敏捷安全全棧閉環產品和數字供應鏈安全組件化服務,持續安全賦能從威脅建模、缺陷掃描、開源治理、風險發現、積極防禦到威脅模擬等DevSecOps全流程各關鍵環節,在數字供應鏈安全、雲原生安全等典型套用場景下,持續幫助各行業用戶構建共生積極防禦體系。
產業布局
1.供應鏈安全體系(軟體供應鏈安全、開源治理)
結合OpenSCA開源社區及上下游生態,為用戶提供包括威協建模、開源治理、風險發現、積極防禦到安全度量等DevSecOps全流程的各關鍵環節,覆蓋軟體研發,軟體供應、軟體運營的每一個關鍵環節。
2.敏捷安全產品(DevSecOps、DevOps CI/CD流水線)
以IAST為單探針切入點,通過原創專利級"全流程安全賦能平台+敏捷安全工具鏈”的第三代DevSecOps智適應鹹脅管理體系,結合強大的DevOps戰略生態聯盟快速覆蓋數位化轉型場景下的敏捷安全需求。
3.SaaS訂閱服務(雲原生安全+PLG模式)
以RASP未知漏洞防禦為抓手,結合沉澱多年的智慧型代碼疫苗單探針技術,提供覆蓋從IAST互動式安全測試、RASP套用自防禦、API Fuzz敏感數據追蹤技術的SaaS訂閱服務,通過免費+增值方式全面賦能廣大中小企業級用戶。
4.國產可信產業鏈(RASP+產業生態)
以RASP出廠免疫為抓手,從技術、產品等多個方面完成解決方案的深度融合,最大程度發揮上下游生態閉環價值,幫助用戶構建安全、高效、智慧型的企業數位化套用,持續打造國產可信產業上下游生態圈。
核心團隊
子芽:創始人兼CEO,擁有10年以上前沿雲安全技術研究實踐經驗,長期從事AI深度學習算法在持續威脅評估領域的研究。
寧戈:首席技術執行官,擁有10年前沿安全技術研究實踐經驗,長期從事系統軟體與套用軟體的漏洞研究及自動化檢測技術研究,專注於IAST、RASP等運行時檢測防禦技術及DevSecOps體系的產品化實踐,負責懸鏡IAST、RASP、SCA等多個產品線的設計與研發。
董毅:首席運營執行官,全面負責懸鏡運營中心的管理工作。擁有超過10年的網路安全產品設計、研發及運營管理全棧經驗,對網路安全行業有深刻的洞察和理解。
劉恩炙:西南區技術合伙人,擁有9年前沿安全技術研究和實踐經驗,長期從事AST工具引擎端算法研究及落地實踐工作,對DevSecOps工具鏈技術、高性能架構、大數據、容器化等方面有深入的研究。
張弛:華中區技術合伙人,擔任懸鏡安全源鑒產品線技術總負責人一職。擁有9年信息安全技術研究實踐經驗
李浩:華南區技術合伙人,擁有9年多的網路安全套用全棧技術開發、套用逆向、安全開發諮詢及安全培訓經驗,目前,主要負責懸鏡安全華南區全線產品解決方案諮詢、售前支持、產品交付及項目管理等工作。
周幸:華東區技術合伙人,擁有8年多的網路安全套用全棧技術開發、套用逆向及安全開發諮詢經驗,多次參與懸鏡重大項目的研發以及安全產品的落地實踐。負責多家企業開源治理體系以及安全體系建設,專注於對安全產品相關技術的研究,長期深度參與企業級DevSecOps方案的制定和流程建設。
核心技術
代碼疫苗”技術
“代碼疫苗”技術是將智慧型風險檢測和積極防禦邏輯注入到運行時的數位化套用中,如同疫苗一般與套用載體融為一體,使其實現對潛在風險的自發現和對未知威脅的自免疫。作為智慧型代碼疫苗技術的核心,函式級探針深鉤在套用記憶體上下文之中,既能夠在開發測試環節里通過IAST對軟體安全風險進行智慧型檢測,精準定位API安全風險和缺陷,有效解決運行時API中敏感數據流動的追蹤問題,又能夠在部署和運營環節通過RASP實現軟體風險自免疫。
“積極防禦”體系
傳統的安全措施主要依賴以多環節威脅發現與治理為基礎的被動式縱深防禦體系,已難以滿足如今愈發複雜的數字戰場。以源鑒OSS、OpenSCA、雲鯊RASP、靈脈PTE等敏捷安全工具鏈構築的新一代積極防禦體系,可在套用上線前實現出廠免疫,上線後進行持續威脅模擬與安全效果度量,從而完成主動式全流程攻擊面管理。 積極防禦體系強調更“敏捷”地應對軟體運營側的安全問題,通過在更貼近攻擊者的視角精準地、系統地發現系統對外暴露的安全問題,以及通過激活預設在軟體內部的安全防護機制實現自保護,讓運營側的安全更加“敏捷化”。
新一代DevSecOps敏捷安全體系
作為下一代敏捷安全體系,以代碼疫苗技術為核心,以積極防禦框架為實戰驅動,以運行時輕量級單探針為套用載體,通過基於原創專利級"全流程軟體供應鏈安全賦能平台+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系,從驅動DevSecOps CI/CD管道持續運轉的幾大關鍵實踐點入手,持續賦能從威脅建模、開源治理、風險發現、積極防禦到安全度量等SDLC全流程的各關鍵環節,從構築之初就注重技術落地的柔和低侵入性。
產品及服務
懸鏡安全憑藉多年技術攻關首創專利級代碼疫苗技術和下一代積極防禦框架,通過“全流程軟體供應鏈安全賦能平台+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系,提供敏捷安全全棧閉環產品和軟體供應鏈安全組件化服務,協助行業用戶建立DevSecOps CI/CD黃金管道,利用關鍵技術(IAST互動式套用安全測試、SCA第三方組件成分分析、RASP運行時套用自保護等)實現CI/CD工具鏈自動化,通過識別漏洞,實現漏洞信息統一規範性命名與標準化描述,及時修復漏洞為業務保駕護航。
1.DevSecOps敏捷安全全棧閉環產品
OpenSCA全球極客開源數字供應鏈安全社區
OpenSCA是SCA技術原理的開源實現,承載著懸鏡安全“用開源的方式做開源風險治理”的開創性理念。在企業通過引入開源組件實現數位化套用開發敏捷化及業務交付加速的過程中,OpenSCA高度適用軟體開發生命周期的安全自查、業務外包的安全自查、第三方代碼/組件引入安全自查等套用場景,基於多源SCA開源套用安全缺陷檢測、多級開源依賴挖掘、縱深代碼同源檢測等核心能力,結合懸鏡獨有的套用探針技術,精準識別套用開發過程中引用的第三方開源組件,支持生成國際通用標準格式的軟體物料清單(SBOM),並通過套用組成分析引警多維度提取開源組件特徵,計算組件指紋信息,深度挖掘組件中潛藏的各類安全漏洞及開源協定風險。
不同於傳統企業版SCA工具,OpenSCA為企業和個人治理開源風險提供了充滿可能性的開源解決方案,搭建並聚集了涵蓋金融、車聯網、泛網際網路、智慧型製造、通信及能源等行業的上萬開源項目維護者和使用者的極客安全社區。
源鑒SCA開源威脅管控平台
OpenSCA的商業版本源鑒SCA,是國內首款運行態SCA產品,作為懸鏡第三代DevSecOps智適應威脅管理體系中開源治理環節的數字供應鏈安全管理平台,在繼承OpenSCA多源SCA開源套用安全缺陷檢測、多級開源依賴挖掘、縱深代碼同源檢測等核心能力的基礎上,憑藉專利級原始碼和二進制成分分析雙引擎驅動,結合懸鏡專業全面的知識庫,精準識別並分析套用軟體成分,保證組件、漏洞及許可證的檢出率及準確率,且支持更多主流開發語言解析、更多IDE開發工具集成、更多國際標準格式SBOM生成。
源鑒SCA是成熟的開源軟體成分分析信息化套用創新產品,技術完全自主研發,安全可控,滿足國內行業監管法規要求,同時兼容主流信創作業系統、CPU架構等基礎運行環境,助力企業信創生態建設。
靈脈IAST灰盒安全測試平台
靈脈IAST灰盒安全測試平台(簡稱“靈脈IAST”)作為懸鏡第三代DevSecOps智適應威脅管理體系中上線前測試環節的套用風險發現平台,融合DAST和SAST的優勢,通過全場景流量分析技術如運行時套用插樁(含主動及被動)、啟發式爬蟲、終端流量代理/VPN、流量管家(主機流量嗅探、旁路流量鏡像)、Web日誌學習、啟發式爬蟲等,和原創AI滲透啟發技術,基於請求、代碼、數據流、控制流綜合分析判斷漏洞,使得在完成數位化套用功能測試的同時即可透明實現深度業務安全測試。漏洞測試準確性高,誤報率極低,並且可以定位到API接口和代碼片段。同時,靈脈IAST還載入了IAST以外懸鏡的技術積累,除了可檢測應用程式本身的安全弱點,還可以檢測屢屢頻發的業務邏輯漏洞、應用程式中依賴的第三方軟體的版本信息和包含的公開漏洞,支持漏洞驗證。
雲鯊RASP自適應威脅免疫平台
雲鯊RASP作為懸鏡第三代DevSecOps智適應威脅管理體系中的積極防禦平台,是基於運行時情境感知技術的新一代套用威脅免疫平台,通過專利級AI檢測引擎、套用漏洞攻擊免疫算法、運行時安全切面調度算法及縱深流量學習算法等關鍵技術,將主動防禦能力“注入”到業務套用中,藉助強大的套用上下文情景分析能力,可捕捉並防禦各種繞過流量檢測的攻擊方式,提供兼具業務透視和功能解耦的內生主動安全免疫能力,為業務套用出廠默認安全免疫迎來革新發展。
雲鯊RASP SaaS自適應威脅免疫平台
雲鯊RASP SaaS化版本,用戶無須部署、升級、維護,以零成本將主動防禦能力“注入”到業務套用中,憑藉輕量級代碼疫苗技術,雲鯊SaaS通過插樁專利級AI檢測引警、套用漏洞攻擊免疫算法、運行時安全切面調度算法及縱深流量學習算法等關鍵技術,將防護邏輯與防護功能注入應用程式,深入套用運行時的環境內部,無需人工干預,使套用擁有威脅自免疫能力。當應用程式開始運行時,RASP可以通過分析與了解數據流及事件流,檢測和防護無法預見的安全威脅與攻擊事件,尤其在0Day等未知漏洞防禦、東西向流量防護、數字供應鏈投毒免疫等方面,擁有絕對的核心優勢。
靈脈SAST白盒安全測試平台
靈脈SAST作為懸鏡DevSecOps智適應威脅管理體系中的原始碼缺陷識別平台,主要用於軟體代碼安全審核和質量分析,它能幫助開發、測試和安全團隊在SDL的早期發現並修復漏洞,並快速解決問題,而不會破壞構建成果或將漏洞傳遞到最終套用版本,進而降低漏洞修復的成本,提升軟體安全質量,不斷提高軟體開發人員的安全開發水平。
靈脈SAST提供企業級原始碼缺陷分析、原始碼審計、原始碼缺陷修復跟蹤的完整解決方案,幫助企業在軟體開發測試過程中發現原始碼中的安全缺陷、性能缺陷、代碼質量等問題,全面提升軟體安全質量。
靈脈PTE持續威脅模擬平台
靈脈PTE作為懸鏡DevSecOps智適應威脅管理體系中運營環節的威脅模擬平台,是國內率先實現“AI+威脅模擬”的智慧型攻防演練機器人系統,利用RNN深度學習算法模擬黑客入侵,可為用戶提供持續性的網路安全驗證與漏洞挖掘能力。靈脈PTE創造性地將白帽子在大量滲透過程中積累的實戰經驗轉化為機器可存儲、識別、處理的結構化經驗,在自動化測試過程中藉助人工智慧算法不斷進行“智力”成長和邏輯推理決策,以貼近實際人工滲透的方式,對既定目標進行從信息收集到漏洞利用的完整滲透過程。主動發現演練目標的風險點,並實時展現滲透決策路徑及滲透全景圖,靈脈PTE打破傳統網路安全風險評估平台針對威脅利用的單一性和不連貫性,在測試過程中更加注重多個風險點之間的關聯利用,支持對目標的持續性安全檢測,提供輔助滲透測試和安全隱患的解決方案,降低人工成本。
夫子ATM自動化威脅建模平台
夫子ATM自動化威脅建模平台(簡稱“夫子ATM”),作為懸鏡DevSecOps智適應威脅管理體系中的安全需求分析平台,採用多種威脅建模方式,通過情景化問卷方式,依託強大的安全知識庫,賦能傳統IT從業人員,在政企用戶的組織內部實現安全需求人人可分析、人人可理解、人人可實踐。使傳統安全小白(研發、測試、QA等)完成套用設計、開發、測試的同時即可透明實現深度業務安全,有效覆蓋系統可能出現的各類威脅,從源頭階段軟體弱點與漏洞的出現,防止套用帶病上線。
夫子ASOC敏捷安全賦能平台
夫子ASOC作為作為懸鏡第三代DevSecOps智適應威脅管理體系的全流程攻擊面管理平台,不僅聚焦開發早期需求分析、架構設計階段的威脅建模,還重點解決當下軟體套用漏洞管理中普遍存在的漏洞發現能力孤立、漏洞管理難閉環、開發流程難管控等核心痛點問題。它的核心定位是從開發源頭開始將專家團隊的安全能力持續賦能給傳統IT項目人員,使安全思想注入DevSecOps/SDL全生命周期,幫助企業組織流程化、自動化、持續化地保障業務安全。
2.數字供應鏈安全組件化服務
DevSecOps/SDL諮詢
憑藉在軟體安全方面的豐富經驗,提供專業的安全開發諮詢服務。對企業現有的系統進行全面分析,根據企業業務規模、行業、目標、任務和遇到的挑戰,通過全面地考慮安全解決方案來幫助建立合適的安全開發體系。
開源治理諮詢
憑藉在軟體供應鏈安全領域的落地實踐經驗,幫助企業在內部形成體系化的開源軟體全生命周期管理流程和規範,在軟體開發、供應、使用環節進行常態化開源風險治理工作。
紅藍對抗/滲透測試
在客戶授權許可的情況下,資深安全專家通過模擬黑客攻擊的方式,對企業的網站或線上平台進行全方位滲透入侵測試,來評估業務平台和伺服器系統的安全性。
安全開發實訓
幫助企業對自身的研發團隊進行安全開發培訓,以求在軟體開發過程中大幅減少脆弱代碼,儘量規避漏洞,以加速軟體系統的安全交付,有效降低上線運營的風險。
發展歷程
2014-2015 從0到1
懸鏡安全團隊正式成立,起源於北京大學網路安全技術研究團隊“XMIRROR”,對外提供攻防演練、滲透測試、APT攻擊模擬及二進制漏洞挖掘等專業安全服務,團隊和品牌從零到一構築,深耕企業級安全開發市場。
2016-2018 技術沉澱
發布基於新一代IT戰略框架的懸鏡DevSecOps智適應威脅管理體系V1.0。
基於動態污點追蹤技術的新一代會和安全測試平台靈脈IAST V2.0發布。
發布DevSecOps智適應威脅管理體系V2.0,以AI技術賦能開發安全,實現技術閉環的全流程威脅管理。
2019-2021 商業進階
DevSecOps智適應威脅管理體系的核心產品及解決方案陸續在金融、車聯網、泛網際網路等多個行業頭部標桿用戶落地實踐。
正式發布“DevSecOps 敏捷安全技術金字塔 V2.0”。
2022-2023 迅猛發展
專注於以“代碼疫苗”技術為核心,大規模推廣套用第三代DevSecOps智適應威脅管理體系及敏捷安全全棧閉環產品,迅速壯大懸鏡北京總部、華東、華南、西南、華中及華北分部力量,形成全國分散式本地化技術支撐體系。
發布基於積極防禦框架的懸鏡 DevSecOps 智適應威脅管理體系 V3.0,以代碼疫苗技術賦能數字供應鏈安全形成以威脅建模、開源治理、風險發現、積極防禦和安全度量等關鍵技術閉環的全流程威脅管理。
舉辦以“共生·敏捷·進化”為主題的DSO2022,並正式發布“DevSecOps 敏捷安全技術金字塔 V3.0”。
融資情況
2016.05 接受奇安信集團天使輪戰略投資
2020.05 完成PreA輪數千萬元融資,由紅杉中國種子基金獨家領投
2021.03 完成A輪近億元戰略融資,由騰訊產業生態投資領投,紅杉中國繼續加持
2022.03 完成B輪數億元融資,由源碼資本領投,GGV紀源資本跟投,紅杉中國、騰訊產業生態投資再次加持
品牌使命
守護中國數字供應鏈安全
品牌願景
止黑守白,讓數字世界更安全
品牌價值觀
不設邊界,永遠保持可能性。 學會韌性,堅守長期主義。 擁抱變化,持續做更好的自己。 相互成就,實現彼此共進。