江苏龙网

  1. 首页 > 资讯 > 科技 > >

36氪|悬镜安全完成数千万元PreA轮融资,红杉中国种子基金独家领投


36氪获悉 , 6月8日 , 业内头部DevSecOps敏捷安全公司悬镜安全正式宣布完成数千万元人民币的PreA轮融资 , 本轮融资由红杉中国种子基金独家领投 。 融资完成后 , 悬镜安全将进一步完善产品布局 , 扩充专业销售及市场团队 , 加速进军金融、电力、能源及互联网企业安全市场 。
据悉 , 悬镜安全由北京大学网络安全技术研究团队“XMIRROR”主导创立 , 专注DevSecOps软件供应链持续威胁一体化检测防御 , 旗下原创悬镜DevSecOps智适应威胁管理体系主要覆盖从威胁建模、威胁发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的政企安全服务 。
在此先解释一下DevSecOps的概念 , DevSecOps IT战略框架最早由Gartner提出 , 其核心理念为安全前置 , 强调安全需要贯穿从开发到运营整个业务生命周期的每个关键环节 。 DevSecOps的关联概念有DevOps(Development和Operations的组合词)指的是一组过程、方法与系统的统称 , 用于促进开发、技术运营和质量保障(QA)部门之间的沟通、协作与整合 。 它是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例 , 希望使构建、测试、发布软件能够更加敏捷、频繁和可靠 。 但敏捷可能会出现一个问题 , 即在传统安全(渗透测试或人工方式等)的方式下 , 敏捷会影响研发交付 , 这是企业所不能接受的 。 于是从2017年开始 , 新的战略方法DevSecOps开始流行 , 核心是将安全(security)嵌入DevOps中 。 "从2017年起 , 国际上专注DevSecOps的厂商逐渐多了起来 , 国内也有越来越多的甲方和厂商开始重视开发安全 。 它的核心是解决在DevOps敏捷开发模式下 , 如何柔和地将安全嵌入进来实现安全前置的问题 。 ”「悬镜安全」创始人子芽介绍 。
从开发源头做敏捷安全治理
【36氪|悬镜安全完成数千万元PreA轮融资,红杉中国种子基金独家领投】根据第三方权威调查 , 接近92%的已知安全漏洞都发生在软件应用程序中 , 且应用中每1000行代码至少出现一个业务逻辑缺陷 。 目前绝大多数政企用户对业务应用漏洞的发现除了内部自测以外 , 多半源自外部第三方白帽子或安全厂商 。 整个软件开发生命周期中 , 不同阶段修复安全漏洞的成本差距显著 , 研发测试阶段与线上运营阶段的修复成本甚至相差数百倍 。 因此 , 如何前置安全工作 , 把漏洞风险消灭在萌芽状态 , 防止应用带病上线 , 十分迫切且必要 。
悬镜旗下明星产品之一灵脉IAST灰盒安全测试平台 , 作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道的应用风险发现平台 , 通过新一代全场景实时流量分析技术 , 如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI启发渗透测试技术赋能传统IT从业人员 , 在甲方用户的组织内部快速建立安全众测模式 , 使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试 , 有效覆盖90%以上中高危漏洞 , 防止应用带病上线 。 从原理来看 , 基于IAST的灰盒测试可以通过在测试服务器上安装的探针(可理解为插件 , 用作收集流量) , 拿到程序运行交互的一些请求上下文 , 再利用动态污点追踪等方式追踪从输入到敏感操作之间整个传播路径 , 进而分析、确认漏洞 。 而且由于请求上下文是从内存中拿到 , 工作人员可以定位漏洞所在的代码位置 , 所以检出率很高 , 同时也很精准 。
用持续攻防对抗来度量安全
攻防对抗是网络安全建设过程中永恒的主题 , 是检验现有安全体系防御应对未知威胁成效能力最为直接的方式 , 如RSAC 2018中黄金管道涉及的BUG悬赏 , 本质也是鼓励主动建立攻防对抗体系 , 如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等 。


推荐阅读


上一篇:IT168|视频拍摄仍是重心,Reno4 系列揭开新一轮竞赛

下一篇:IT168|视频超级防抖 3.0,Reno4 Pro 开启拍摄新体验