一、解决方案简介

悬镜软件供应链安全解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等关键环节的开发运营一体化敏捷安全产品以及DevSecOps/SDL咨询、开源治理咨询、红蓝对抗/渗透测试、安全开发实训等在内的软件供应链安全组件化服务，为金融电商、泛互联网、车联网、电信运营商、能源电力等行业用户提供创新灵活的软件供应链安全解决方案。

作为一家“技术型”+“学院派”的网络安全厂商，悬镜安全背依北京大学网络安全实验室，以AI攻防技术为产品驱动核心，结合多年的敏捷安全落地实践经验和软件供应链安全研究成果，形成了独特的软件供应链安全管理体系，为企业组织提供包括威胁建模、开源治理、风险发现、威胁模拟、检测响应在内的的全生命周期安全解决方案，包括：

威胁建模：夫子ATM情景式威胁建模平台；

开源治理：源鉴OSS/OpenSCA开源威胁管控平台；

风险发现：灵脉IAST灰盒安全测试平台；

威胁模拟：灵脉BAS智慧威胁模拟平台；

检测响应：云鲨RASP自适应威胁免疫平台。

以前沿的技术能力为客户提供全流程、一站式的安全赋能与安全保障。

本方案辅以悬镜专家级软件供应链安全组件化服务，包括DevSecOps/SDL咨询、开源治理咨询、红蓝对抗/渗透测试、安全开发实训等以实战攻防对抗为特色的安全服务，实现全流程、全对象、全维度的威胁管理。

图1 悬镜软件供应链安全管理体系

1. 软件供应链与软件供应链安全

软件供应链的生态系统包括原始组件、集成组件、软件产品及产品运营四个环节。在软件供应链中，原始组件是原材料，集成组件是中间组件，软件产品是交到消费者手中的商品，产品运营是为消费者提供的服务保障产品的正常运行。因此，软件供应链可以理解为软件和系统的从生产到交付全过程，是一套自动化、标准化及规模化的持续交付的流水线。通过设计和开发阶段，将生产完成的软件产品通过软件交付渠道从软件供应链运输给终用户。

根据软件供应链的定义，软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及终交付渠道所共同面临的安全问题。对软件从业者来说，实际需要关注的是自身的软件产品开发过程和运营过程，也就是软件产品和产品运营这两个阶段，软件供应链中的原始组件和集成组件阶段的安全问题应由相应的组件供应商解决。

软件产品阶段和产品运营阶段的加总，实际上就是传统概念中的软件生命周期。软件生命周期可以划分为4个主要阶段：设计阶段、编码阶段、发布阶段、运营阶段。这也是软件供应链安全治理中真正需要关注的部分。

图2 软件供应链生命周期与软件生命周期的关系

2.软件供应链安全解决方案工具链

①软件编码阶段

进行应用安全测试（AST），开源组件检测（OSS），软件成分分析（SCA）。通过阶梯式检测方案，在研发不同阶段介入为合适的检测方式和优检测规则，确保在每个流程上都只检出真实漏洞。所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保更为有效的真实漏洞检出概率并降低误报导致的人工分析成本和落地阻力。

②软件测试阶段

交互式安全测试（IAST），灵脉IAST灰盒安全测试平台通过获取功能测试人员测试交互流量，并以此取代DAST的自行构造模式。基于模糊测试（fuzz）思想对流量进行攻击代码随机插入和攻击流量构建，自动化对被测程序进行安全测试，并在测试过程中借助插桩监控平台对被测程序的运行轨迹进行实时跟踪和介入。一旦攻击流量触发安全问题，插桩平台不仅可以*****时间捕获安全问题，还能够精确定位到漏洞所在的代码文件、行数、函数及参数。通过这种方式，交互式应用安全测试既能保证检出漏洞的有效性，有效降低误报，还能够精准定位漏洞，帮助研发人员更好进行漏洞修复和回归，有效提升测试过程安全检测能力。通过IAST的新型测试模式，其还可以覆盖更多传统DAST无法触及的安全范畴，包括逻辑类漏洞检测自动化、双向加密数据获取等，实现更为良好的安全检测能力。

③上线迭代阶段

进行应用安全测试（AST），自动化威胁模拟（BAS）,运行时应用自保护（RASP）。常态化安全运营，风险管理（RM）贯穿所有阶段，对项目上线后所在的服务器资产、中间件以及项目本身进行7*24小时周期性安全检查，相当于有一个安全团队或渗透测试工程师全天候管理线上资产、站点以及中间依赖的安全问题，有效确保安全健壮性。

④平台部分

悬镜软件供应链安全解决方案可通过统一平台，将上述各流程的介入工具检测结果进行统一展示和操作，方便用户闭环安全问题、发现高频安全盲区以及进行安全量化统计等。

夫子ATM情景式威胁建模平台作为悬镜软件供应链安全管理体系的全流程管理平台，不仅聚焦开发早期需求分析、架构设计阶段的威胁建模，还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位就是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员，使安全思想注入DevSecOps全生命周期，帮助企业组织流程化、自动化、持续化地保障软件供应链安全。

3.服务部分

①普及性赋能

软件供应链安全体系建设前期为各研发环节人员进行普及性安全知识赋能，培养各环节技术人员相关安全意识，并使其了解其安全职责，为后续向其提供工具落地其赋能知识提供理念基础。

②针对性赋能

软件供应链安全体系建设后期根据开源治理等环节经常出现的漏洞类型、研发人员知识盲区进行针对性赋能培训，终还可根据上述数据针对性制定规章制度，实现制度的针对性逆推落地。

③常态化安全咨询

在软件供应链安全体系各环节，悬镜软件供应链安全解决方案均向客户提供保姆式常态化安全咨询，有效协助分析和解决软件供应链安全落地难点，并实现对不同行业线的安全痛点的针对性建议和定制化软件供应链安全建设方案规划。

④安全驻场服务

悬镜软件供应链安全解决方案可提供陪伴式安全驻场，通过派遣专业安全人员进驻客户一线研发团队，帮助客户解决研发安全落地过程中的技术、流程困境，协助解决研发安全落地痛点，并提供有效行为措施和数字材料。

二、应用场景痛点简介

在当今快节奏的商业世界中，越来越多的软件团队采用了敏捷开发实践以跟上业务的需求，这些做法给开发人员带来了很大的压力，要求他们能够更快地构建和部署应用程序。为了在较短的软件发布周期内成功实现此目标，开发人员经常通过对开源软件组件进行修改添加所需要的功能以加快软件开发的速度。

随之而来又经常被忽视的是：绝大多数应用程序都包含开源组件风险。根据行业公司的调查报告，超过70%的应用在初步检测时就会被发现其存在开源组件漏洞，而终的检测结果，存在开源组件漏洞的软件应用比例超过90%。所以不应一再忽视如此显而易见而又影响广泛的风险。

而且随着容器、微服务等新技术日新月异，开源软件已经成为业界主流形态，软件行业快速发展。但同时，软件供应链也越来越趋于复杂化和多样化，软件供应链安全风险不断加剧，针对软件供应链薄弱环节的网络攻击随之增加，软件供应链成为影响软件安全的关键因素之一。

具体痛点：

1.国际竞争环境加剧，软件供应链完整性遭遇挑战

软件供应链的竞争和保障，不仅影响着企业的生存和发展，同时也成为世界各国之间互相制约与竞争的重要手段。某些西方国家通过实行严密的技术封锁，建立完善的出口管制法律制度体系，将本国的软件、硬件和技术列入出口管制清单，这导致国际软件供应链竞争环境加剧，软件供应链的完整性遭遇严重的挑战。

2.软件开源化趋势增强，安全风险加剧

软件供应链开源化趋势增加，导致影响软件供应链的各个环节都不可避免的受到开源环境的影响。由于开源软件之间的关联依赖关系非常复杂，一旦出现安全问题所带来的蝴蝶效应将带来十分严重的影响，若一款开源软件出现未知的安全漏洞，将会导致所有与之存在关联依赖关系的其他软件系统出现同样的漏洞，漏洞的攻击面将会由点及面呈现出爆炸式的放大效果。

开源软件提高了企业软件供应链的暴露程度，国内大多数企业缺少对技术风险、法律风险和供应链风险的认知，极度缺乏专业知识和应对经验，在大量使用开源软件的情况下，可能使其成为攻击者的切入点。

3.软件复杂度增加，软件供应链每一环节均存在风险

随着软件规模越来越大，程序逻辑越来越复杂，对软件完整语义的理解及操作逻辑的把握越来越困难，设计缺陷、深层次漏洞更难以发现，后门更易于隐藏。在软件扩展过程中新增的组件需要与原组件进行交互，导致了软件开发的组件化、复用化，以及软件供应链的产生。

软件供应链可以理解为一个链条，那么在链条上的每一个环节都可能产生安全威胁，由于软件设计缺陷和软件开发过程中产生的漏洞将沿着软件供应链的树状结构由上游向下游扩散，加大了软件供应链的安全风险，同时这也对软件的业务逻辑和安全质量控制及标准提出了更高的要求。

4.难以处理敏捷开发与安全成本之间的平衡

随着互联网时代的高速发展，信息得以快速传递，这对软件开发管理带来前所未有的冲击。用户对于软件的功能性、实用性和易用性等方面的要求越来越高，软件市场的竞争压力不断加大，互联网企业面临更加复杂和快节奏的外部环境，这要求软件开发者在较短的时间内完成大量功能开发的任务，并在后续持续不断地高速迭代以满足市场的需求。由于要节省时间成本，开发者在开发过程中必然会大量使用开源库与外包供应商提供的非公开库。但是，在使用外部库时会存在大量安全隐患，一旦出现数据泄露等安全问题，将导致极其巨大的经济损失。

在敏捷开发模式中，因为安全影响开发效率导致安全与开发严重割裂，传统安全团队上线前介入的模式已经严重滞后，不仅不能有效地进行系统的安全防护，同时也会影响应用的交付速度。如何在较短的开发周期内尽量完善软件功能，同时完成相对完备的安全性测试，实现质量、安全和速度的平衡是现阶段各企业及开发部门所面临的重要挑战。

5. 企业未能形成软件供应链安全管理流程的闭环

很多企业在应用系统运行阶段发现大量的安全漏洞，这个现象一方面说明了软件供应链安全的不够完善，另一方面说明企业缺乏安全漏洞对软件供应链安全规范的反哺机制。只有专业的安全团队不断地将己有的经验和安全运营发现的安全漏洞作为输入进行转化和沉淀才能形成适用于企业的成熟的软件供应链安全规范。

三、解决方案亮点介绍

1.  零门槛、无感知

如上所述，研发人员的主业，永远是功能的实现和按期交付，若安全的建设未能满足或过于干涉其该根本需求，一定会出现落地阻力，基于此，悬镜软件供应链安全解决方案业内首创零门槛、无感知的安全介入方案，不更改原有工作流程，不增加相关人员工作量，不更改其工作方式，从而实现更为有效的安全落地。

2. 统一的上线前安全测试

针对研发过程中的低质量代码交付问题，通过悬镜软件供应链安全解决方案建设统一的交付前检测流程，设定红线级规定，要求交付项目必须通过悬镜软件供应链安全解决方案统一安全测试，且无特定中高危漏洞，从而实现对企业自身的统一上线检测流程建设和漏洞控制。

3. 低误报率、高检出率

相比于传统黑白盒的漏报、误报问题，悬镜软件供应链安全解决方案通过阶梯式检测方案，在研发不同阶段介入为适合的检测方式和优检测规则，确保在每个流程上都只检出真实漏洞，所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保更为有效的检出概率。

4. 国内领先的支持逻辑类漏洞自动检测

逻辑类漏洞一直是业内安全难点，传统手段均需要人工手工渗透，过于依赖相关人员能力和经验，导致存在较大遗留隐患。悬镜软件供应链安全解决方案的悬镜灵脉IAST是国内领先的支持逻辑类漏洞自动检测的方案，能够自动化对水平越权、垂直越权、固定验证码等逻辑类漏洞进行安全检测，有效解决逻辑类漏洞检测难点。

5. 运行态分析验证

为了使开发人员避免面对数量巨大的误报和无法被利用的漏洞，悬镜软件供应链安全解决方案的源鉴OSS拥有运行时分析能力，通过开源软件成分分析、依赖分析、特征分析、引用识别等多种技术组合能够精确识别软件中的开源组件信息，以准确识别应用程序是否实际使用了易受攻击的组件，进一步确认漏洞的真实有效性，帮助开发人员区分优先级，将有限的修复精力集中在真正重要的漏洞上。

6. 一键回归测试功能

漏洞回归过程中，研发人员可能出现使用“规避式”修复方式，即并未真实修复漏洞，仅通过修改少量代码方式“治标不治本”，导致漏洞依然遗留。针对此问题，悬镜软件供应链安全解决方案通过一键回归测试功能，使用检出漏洞时的攻击代码重新进行攻击测试，真实确认漏洞修复状态，防止“规避式”漏洞逃避检测遗留上线。

7. 帮助提升企业自身安全能力

传统上线前的安全测试，企业多为选择第三方安全公司进行渗透测试，该方法不仅成本高昂，且测试效果受测试人员能力影响，效果往往良莠不齐。同时此方法完全依赖第三方，无法对自身缺失能力进行建设和补齐，往往导致“成本陷阱”。悬镜软件供应链安全解决方案旨在提升企业自身安全能力，建设企业自身安全能力，逐步摆脱对第三方安全服务的依赖，显著降低成本。

8. 安全能力输出

悬镜软件供应链安全解决方案IAST环境的流量镜像方式，不仅可以对自身项目进行安全测试，还可以利用该方法对第三方项目进行安全能力输出，通过获取第三方线上业务流量，帮助第三方测试环境业务进行安全测试，实现自身安全能力的对外宣贯输出。

9. 契合DevSecOps建设

鉴于目前很多行业线进行的DevOps建设，悬镜软件供应链安全解决方案各阶段安全方案均可与对应DevOps环节方案进行无缝衔接，在不影响原有效率、流程的同时显著提升安全能力质量，为高质量项目交付提供有力保障。

四、金融行业客户名单

中国银行、中国工商银行、中国人民银行清算总中心、中国银联、浙商银行、中信证券、安信证券等。

五、客户评价

凭借悬镜原创的软件供应链安全解决方案，不断为金融电商、泛互联网、车联网、电信运营商及能源电力等行业用户持续赋能，合力构筑适应甲方业务弹性扩展并面向敏捷业务交付的内生安全开发运营体系，保障软件供应链安全。

做好软件供应链安全体系建设，配套工具链技术的支撑非常重要。悬镜软件供应链安全解决方案采用原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的支撑，融合悬镜安全的技术积累硬实力，打造多款新兴的安全工具，在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等新特性，可为银行、证券等金融行业的数字化业务系统的软件供应链安全，提供相对准确的安全测试和审查帮助。